Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В следующей статье описано, как встроенное определение инициативы Регулятивное соответствие Azure Policy сопоставляется с доменами соответствия и элементами управления в Microsoft Cloud Security Benchmark. Дополнительные сведения об этом стандарте соответствия см. в разделе Microsoft Cloud Security Benchmark. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.
Ниже приведены сопоставления с контролями Microsoft Cloud Security Benchmark. Многие элементы управления реализуются с помощью инициативы, определяемой Политикой Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы соответствия нормативным требованиям Microsoft Cloud Security .
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Эти политики могут помочь вам оценить соответствие с контролем; однако часто полного или точного соответствия между контролем и одной или несколькими политиками не существует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Вы можете просмотреть историю изменений в истории коммитов на GitHub.
Сетевая безопасность
Установить границы сегментации сети
Идентификатор: эталон безопасности облака Microsoft NS-1 Владение: совместное
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящего трафика в группах безопасности сети слишком разрешительные. Входящие правила не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | АудитЕслиНеСуществует, Отключено | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Чтобы узнать больше о контроле сетевого трафика с помощью групп безопасности сети, см. на странице https://aka.ms/nsg-doc. | АудитЕслиНеСуществует, Отключено | 3.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Группы безопасности сети (NSG) содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают сетевой трафик в вашу подсеть. | AuditIfNotExists, Отключено | 3.0.0 |
Защита облачных служб с помощью сетевых элементов управления
Идентификатор: microsoft cloud security benchmark NS-2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: Cognitive Services должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-устаревший |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
| Управление API должен отключить доступ к конечным точкам конфигурации службы общедоступной сети. | Чтобы повысить безопасность служб Управление API, ограничьте подключение к конечным точкам конфигурации службы, таким как API прямого управления доступом, конечная точка управления конфигурацией Git или конечная точка конфигурации локальных шлюзов. | AuditIfNotExists, Disabled | 1.0.1 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Отключено | 1.0.2 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Аудит, Отключено | 2.0.1 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Аудит, Отклонить, Отключено | 3.2.0 |
| Ресурсы служб искусственного интеллекта Azure должны использовать Приватный канал Azure | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватный канал снижает риски утечки данных путем обработки подключения между потребителем и службами через магистральную сеть Azure. Дополнительные сведения о частных ссылках см. в следующем: https://aka.ms/AzurePrivateLink/Overview | Аудит, Отключено | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Аудит, Отклонение, Отключено | 2.1.0 |
| Служба Azure Cosmos DB должна отключать доступ к общедоступным сетям | Отключение доступа к публичной сети повышает безопасность, гарантируя, что учетные записи Cosmos DB не будут подвергаться общедоступному интернету. Создав частные конечные точки, можно ограничить раскрытие данных учетной записи Cosmos DB. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Аудит, Запретить, Отключено | 1.0.0 |
| Кластеры Azure Databricks должны отключить общедоступный IP-адрес | Отключение общедоступного IP-адреса кластеров в рабочих областях Azure Databricks повышает безопасность, предотвращая их доступность в открытом интернете. См. дополнительные сведения: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Аудит, Запрет, Отключено | 1.0.1 |
| Рабочие области Azure Databricks должны находиться в виртуальной сети | Azure виртуальные сети обеспечивают повышенную безопасность и изоляцию для рабочих областей Azure Databricks, а также подсети, политики управления доступом и другие возможности для дальнейшего ограничения доступа. См. дополнительные сведения: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Deny, Disabled | 1.0.2 |
| Для рабочих областей Azure Databricks должен быть отключен доступ из общедоступных сетей | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вы можете управлять доступом к вашим ресурсам, создавая частные конечные точки вместо этого. См. дополнительные сведения: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Deny, Disabled | 1.0.1 |
| Рабочие области Azure Databricks должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с рабочими областями Azure Databricks, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/adbpe. | Аудит, Отключено | 1.0.2 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, Отключено | 1.0.2 |
| Темы Event Grid Azure должны использовать приватную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, Отключено | 1.0.2 |
| Хранилище ключей Azure должно включать брандмауэр или отключен доступ к общедоступной сети | Включите брандмауэр хранилища ключей, чтобы хранилище ключей по умолчанию не было доступно для общедоступных IP-адресов или отключите доступ к общедоступной сети для хранилища ключей, чтобы он не был доступен через общедоступный Интернет. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. Дополнительные сведения см. по ссылкам https://docs.microsoft.com/azure/key-vault/general/network-security и https://aka.ms/akvprivatelink | Аудит, Отказать, Отключено | 3.3.0 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о частных ссылках см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Вычисления Azure Machine Learning должны находиться в виртуальной сети. | Виртуальные сети Azure обеспечивают повышенную безопасность и изоляцию для вычислительных кластеров и экземпляров Azure Machine Learning, а также включают подсети, политики управления доступом и другие функции для дальнейшего ограничения доступа. Если вычислительная среда настроена с виртуальной сетью, она не является общедоступной и может быть доступна только из виртуальных машин и приложений в виртуальной сети. | Аудит, Отключено | 1.0.1 |
| Рабочие области машинного обучения Azure должны отключать доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что рабочие пространства машинного обучения не подвергаются доступу в общедоступном интернете. Вместо этого можно управлять доступом к рабочим областям, создавая частные конечные точки. Дополнительные сведения см. в следующем: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Аудит, Отклонить, Отключено | 2.0.1 |
| Рабочие области машинного обучения Azure должны использовать приватную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных ссылках см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Аудит, отключено | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Узнайте больше о приватных ссылках здесь: https://aka.ms/asrs/privatelink. | Аудит, Отключено | 1.0.0 |
| Служба Azure Spring Cloud должна использовать инъекцию сети | Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. | Аудит, Отключено, Отклонить | 1.2.0 |
| Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети (общедоступной конечной точке) в Управляемых экземплярах SQL Azure повышает безопасность, так как доступ оказывается разрешен только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступным сетям см. в статье https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-network и .https://aka.ms/acr/vnet | Audit, Deny, Disabled | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о частных ссылках см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | ПроверкаЕслиНеСуществует, Отключено | 1.0.2 |
| Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Отключено | 1.0.2 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Аудит, Отказать, Отключено | 1.1.0 |
| Доступ к серверам MariaDB через общедоступную сеть должен быть отключен | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Аудит, Запретить, Отключено | 2.0.0 |
| Для серверов MySQL должен быть отключен общедоступный сетевой доступ | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Аудит, Отклонить, Отключено | 2.0.0 |
| Общедоступный доступ должен быть отключен для серверов PostgreSQL | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. | Аудит, Отклонить, Отключено | 2.0.1 |
| Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 3.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Аудит, Отклонить, Отключено | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Аудит, Запрет, Отключено | 1.0.1 |
| Учетные записи хранения должны использовать приватную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Шаблоны Конструктора образов виртуальных машин должны использовать частные ссылки | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Узнайте больше о приватных ссылках на: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Аудит, Отключено, Отказать | 1.1.0 |
Развернуть брандмауэр на границе корпоративной сети
Идентификатор: microsoft cloud security benchmark NS-3 Ownership: Shared
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | АудитЕслиНеСуществует, Отключено | 3.0.0 (предварительная версия) |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью управления доступом к сети по принципу 'точно в срок' | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки пытаются методом перебора учетных данных получить административный доступ к машине. | AuditIfNotExists, Disabled | 3.0.0 |
Развернуть защиту от атак DDoS
Идентификатор: Microsoft cloud security benchmark NS-5 Ответственность: Общая
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Защита от атак DDoS Azure должна быть включена | Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. | AuditIfNotExists, Disabled | 3.0.1 |
Развернуть брандмауэр веб-приложения
Идентификатор: Microsoft cloud security benchmark NS-6 Ответственность: Совместная
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, Отклонить, Отключено | 1.0.2 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, Запретить, Отключено | 2.0.0 |
Обнаружение и отключение небезопасных служб и протоколов
Идентификатор: Microsoft cloud security benchmark NS-8 Ответственность: Общая
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите TLS до последней версии для приложений App Service, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и/или новых функций последней версии. | ПроверкаЕслиНеСуществует, Отключено | 2.1.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Управление идентификацией
Использование централизованной системы удостоверений и проверки подлинности
Идентификатор: эталон безопасности облачных сервисов Microsoft IM-1 Владение: Общий
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: гибкий сервер Azure PostgreSQL должен включать только проверку подлинности Microsoft Entra | Отключение локальных методов проверки подлинности и разрешение только проверки подлинности Microsoft Entra повышает безопасность, обеспечивая доступ к гибкому серверу Azure PostgreSQL исключительно удостоверениями Microsoft Entra. | Аудит, Отключено | 1.0.0 (предварительная версия) |
| Администратор Microsoft Entra должен быть подготовлен для серверов PostgreSQL | Проведение аудита настройки администратора Microsoft Entra для вашего сервера PostgreSQL, чтобы включить проверку подлинности Microsoft Entra. Проверка подлинности Microsoft Entra позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт | ПроверкаЕслиНеСуществует, Отключено | 1.0.1 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит назначения администратора Azure Active Directory для вашего SQL-сервера для включения проверки подлинности Azure AD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Отключено | 1.0.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Аудит, Отказать, Отключено | 1.1.0 |
| В вычислительных ресурсах машинного обучения Azure должны быть отключены локальные методы проверки подлинности | Отключение локальных методов аутентификации повышает безопасность, гарантируя, что в вычислениях машинного обучения используются исключительно удостоверения Azure Active Directory для проверки подлинности. См. дополнительные сведения: https://aka.ms/azure-ml-aad-policy. | Аудит, Отказать, Отключено | 2.1.0 |
| В базе данных Azure SQL должна быть включена проверка подлинности только с использованием Microsoft Entra | Требовать, чтобы логические серверы SQL Azure использовали проверку подлинности только для Microsoft Entra. Эта политика не блокирует создание серверов с включенной локальной проверкой подлинности. Это блокирует возможность включения локальной проверки подлинности на ресурсах после их создания. Рассмотрите возможность использования инициативы "Аутентификация только в Microsoft Entra", чтобы требовать оба элемента. См. дополнительные сведения: https://aka.ms/adonlycreate. | Аудит, Запретить, Отключено | 1.0.0 |
| При создании базы данных SQL Azure должна быть активирована аутентификация только через Microsoft Entra | Требовать создания логических серверов Azure SQL с аутентификацией, использующей только Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Рассмотрите возможность использования инициативы по применению проверки подлинности только Microsoft Entra, чтобы требовать и того и другого. См. дополнительные сведения: https://aka.ms/adonlycreate. | Аудит, Отказано, Отключено | 1.2.0 |
| Управляемый экземпляр SQL Azure должен быть включена аутентификация только с использованием Microsoft Entra | Требовать Управляемый экземпляр SQL Azure для использования проверки подлинности только для Microsoft Entra. Эта политика не блокирует создание управляемых экземпляров SQL Azure с включенной локальной проверкой подлинности. Она блокирует возможность включения локальной аутентификации на ресурсах после их создания. Рассмотрите возможность использования инициативы "аутентификация только через Microsoft Entra" вместо этого, чтобы требовать оба. См. дополнительные сведения: https://aka.ms/adonlycreate. | Аудит, Отказать, Отключено | 1.0.0 |
| Управляемый экземпляр SQL Azure должен иметь включенную только проверку подлинности Microsoft Entra во время создания | Требовать создания Управляемого экземпляра SQL в Azure только с проверкой подлинности Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Рассмотрите возможность использования инициативы «Проверка подлинности только с помощью Microsoft Entra», чтобы требовать обоих методов аутентификации. См. дополнительные сведения: https://aka.ms/adonlycreate. | Аудит, Отклонить, Отключено | 1.2.0 |
| Для учетных записей базы данных Cosmos DB локальные способы проверки подлинности должны быть отключены | Отключение локальных способов проверки подлинности повышает безопасность, гарантируя, что учетные записи базы данных Cosmos DB требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Аудит, Запретить, Отключено | 1.1.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит использования проверки подлинности клиента только через Azure Active Directory в Service Fabric. | Аудит, Запрет, Отключено | 1.1.0 |
| Учетные записи хранения должны предотвращать доступ к общему ключу | Требование аудита Azure Active Directory (Azure AD) для авторизации запросов к вашей учетной записи хранения данных. По умолчанию запросы могут быть авторизованы с использованием учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации с общим ключом. Из этих двух типов авторизации именно Azure AD обеспечивает повышенную уровень безопасности и простоту использования по сравнению с общим ключом и рекомендуется корпорацией Майкрософт. | Аудит, Запрещено, Отключено | 2.0.0 |
| Для рабочих областей Synapse должна быть включена аутентификация только с использованием Microsoft Entra | Требовать, чтобы рабочие области Synapse использовали только проверку подлинности Microsoft Entra. Эта политика не блокирует создание рабочих областей с включенной локальной проверкой подлинности. После создания блокируется возможность включения локальной аутентификации на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. | Аудит, Запретить, Отключено | 1.0.0 |
| Рабочие области Synapse должны использовать только удостоверения Microsoft Entra для проверки подлинности во время создания рабочей области | Требовать создания рабочих областей Synapse, используя исключительно проверку подлинности Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рассмотрите возможность использования инициативы «Только проверка подлинности Microsoft Entra», чтобы требовать обеих составляющих. См. дополнительные сведения: https://aka.ms/Synapse. | Аудит, Отклонить, Отключено | 1.2.0 |
| VPN-шлюзы должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть" | Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что VPN-шлюзам потребуются для проверки подлинности только удостоверения Azure Active Directory. Дополнительные сведения о проверке подлинности Azure AD см. в статье, доступной по адресу https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Аудит, Запрет, Отключено | 1.0.0 |
Безопасное и автоматическое управление удостоверениями приложений
Идентификатор: контрольный показатель безопасности облака Microsoft IM-3 Ответственность: Совместная
| Имя. (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Функциональные приложения должны использовать управляемую идентичность | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | ПроверкаЕслиНеСуществует, Отключено | 3.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Расширение "Guest Configuration" требует системно назначаемого управляемого удостоверения. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | АудитЕслиНеСуществует, Отключено | 1.0.1 |
Проверка подлинности сервера и служб
Идентификатор: эталон безопасности облачных сервисов Microsoft IM-4 Ответственность: Совместная
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Конечные точки API в Azure Управление API должны проходить проверку подлинности | Конечные точки API, опубликованные в Azure Управление API, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Узнайте больше об угрозе API OWASP, связанной с нарушенной аутентификацией пользователей, здесь: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Вызовы Управления API к серверным компонентам API должны проходить проверку подлинности | Вызовы из Управления API к серверным компонентам должны использовать аутентификацию с помощью сертификатов или учетных данных. Это не применяется к серверным компонентам Service Fabric. | Аудит, Отключено, Запретить | 1.0.1 |
| Вызовы Управления API к серверным компонентам API не должны обходить проверку отпечатка сертификата или имени | Чтобы повысить безопасность API, Управление API должен проверить сертификат внутреннего сервера для всех вызовов API. Включите проверку отпечатка и имени SSL-сертификата. | Аудит, Отключено, Отклонить | 1.0.2 |
| База данных SQL Azure должна использовать TLS 1.2 или более поздней версии | Задав версию TLS 1.2 или более новую, вы усилите защиту, сделав Базу данных SQL Azure доступной только с клиентов, использующих TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Аудит, Отключено, Запретить | 2.0.0 |
Используйте сильные механизмы проверки подлинности
Идентификатор: Microsoft Cloud Security Benchmark IM-6 Владение: Shared
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальная машина все равно не защищена от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
Ограничение раскрытия учетных данных и секретов
Идентификатор: Microsoft облачный тест безопасности IM-8 Владение: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| В качестве минимальной версии API для Управления API должна быть установлена версия от 01.12.2019 или более поздняя | Чтобы запретить общий доступ к секретам служб пользователям с правами только для чтения, в качестве минимальной версии API должна быть установлена версия 2019-12-01 или более поздняя. | Аудит, Запретить, Отключено | 1.0.1 |
| Именованные значения секрета в управлении API следует хранить в Azure Key Vault | Именованные значения — это коллекция пар имен и значений в каждой службе управления API. Значения секретов можно хранить как зашифрованный текст в Управление API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Чтобы повысить безопасность управления API и секретов, используйте именованные значения секретов из Azure Key Vault. Azure Key Vault поддерживает детализированные политики управления доступом и смены секретов. | Аудит, Отключено, Запретить | 1.0.2 |
| Компьютеры должны иметь разрешенные секретные выводы | Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. | AuditIfNotExists, Disabled | 1.0.2 |
Привилегированный доступ
Разделение и ограничение пользователей с привилегированными правами доступа и правами администратора
Идентификатор: microsoft cloud security benchmark PA-1 Ownership: Shared
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | ПроверитьЕслиНеСуществует, Отключено | 1.0.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Для вашей подписки должно быть назначено несколько владельцев | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | АудитЕслиНеСуществует, Отключено | 3.0.0 |
Старайтесь не применять постоянный доступ для пользовательских учетных записей и разрешений
Идентификатор: Проверка безопасности облаков Microsoft PA-2 Владение: Общий
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Порты управления виртуальных машин должны быть защищены с помощью управления доступом к сети по запросу | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Регулярная проверка и согласование доступа пользователей
Идентификатор: microsoft cloud security benchmark PA-4 Ownership: Shared
| Имя. (портал Azure) |
Описание | Действие(я) | Версия (GitHub) |
|---|---|---|---|
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | АудитЕслиНеСуществует, Отключено | 1.0.0 |
Следуйте принципу администрирования с предоставлением минимальных прав
Идентификатор: эталон безопасности облака Microsoft PA-7 Владение: Общая
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Подписки на управление API не должны охватывать все API | Подписки на управление API должны быть сфокусированы на продукте или отдельном API, а не на всех API, что может привести к чрезмерному раскрытию данных. | Аудит, Отключено, Запрещено | 1.1.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Аудит, отключено | 1.0.1 |
| В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Аудит, Отключен | 1.1.0 |
Защита данных
Обнаружение, классификация и метка конфиденциальных данных
Идентификатор: Microsoft контрольные показатели безопасности в облаке DP-1 Владение: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Microsoft Defender для API | Microsoft Defender для API обеспечивает новые возможности обнаружения, защиты, выявления и реагирования для отслеживания типичных атак, основанных на API, и ошибок в настройках безопасности. | АудитЕслиНеСуществует, Отключено | 1.0.3 |
Отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Идентификатор: Microsoft Cloud Security Benchmark DP-2 Собственность: Shared
| Имя. (портал Azure) |
Description | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | АудитЕслиНеСуществует, Отключено | 1.0.2 |
| Azure Defender для реляционных баз данных с открытым кодом должен быть включен | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнайте о ценах на странице стоимости Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Необходимо включить Microsoft Defender для API | Microsoft Defender для API предлагает новые возможности для обнаружения, защиты, выявления и реагирования, что позволяет отслеживать типичные атаки, основанные на API, и ошибки в настройке безопасности. | AuditIfNotExists, Отключено | 1.0.3 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Отключено | 1.0.0 |
Шифрование конфиденциальных данных во время передачи
Идентификатор: Microsoft Cloud Security Benchmark DP-3 Ответственность: Совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Сеть узлов и виртуальных машин должна быть защищена в системах Azure Stack HCI | Защитите данные в сети Azure Stack HCI и на сетевых подключениях виртуальных машин. | Аудит, Отключено, АудитЕслиНеСуществует | 1.0.0 (предварительная версия) |
| API Management может использовать только зашифрованные протоколы | Чтобы обеспечить безопасность передаваемых данных, API-интерфейсы должны быть доступны только через зашифрованные протоколы, такие как HTTPS или WSS. Избегайте использования незащищенных протоколов, таких как HTTP или WS. | Аудит, Отключено, Запретить | 2.0.2 |
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Аудит, Отключено, Запретить | 4.0.0 |
| Приложения службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | ПроверкаЕслиНеСуществует, Отключено | 3.0.0 |
| Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
| База данных SQL Azure должна использовать TLS 1.2 или более поздней версии | Задав версию TLS 1.2 или более новую, вы усилите защиту, сделав Базу данных SQL Azure доступной только с клиентов, использующих TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Аудит, Отключено, Запретить | 2.0.0 |
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Аудит, Отключено | 1.0.1 |
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Аудит, Отключено | 1.0.1 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | АудитПриОтсутствии, Отключено | 2.1.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | аудит, Аудит, отказ, Отказ, отключено, Отключено | 8.2.0 |
| Следует включать только безопасные подключения к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Аудит, Отказать, Отключено | 1.0.0 |
| Следует включить безопасный перенос в аккаунты хранилища | Требование аудита безопасной передачи в вашей учетной записи хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Аудит, Отклонение, Отключено | 2.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, ваши устройства должны использовать последнюю версию стандартного криптографического протокола TLS. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Отключено | 4.1.1 |
Обеспечение шифрования неактивных данных по умолчанию
Идентификатор: Microsoft cloud security benchmark DP-4 Владение: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Администратор Microsoft Entra должен быть подготовлен для серверов MySQL | Аудит предоставления администратора Microsoft Entra для вашего сервера MySQL, чтобы включить аутентификацию Microsoft Entra. Проверка подлинности Microsoft Entra позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт | АудитЕслиНеСуществует, Отключено | 1.1.1 |
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Аудит, Запретить, Отключено | 1.1.0 |
| Гибкий сервер Azure MySQL должен включать только проверку подлинности Microsoft Entra | Отключение локальных методов проверки подлинности и разрешение только проверки подлинности Microsoft Entra повышает безопасность, обеспечивая доступ к гибкому серверу Azure MySQL исключительно удостоверениями Microsoft Entra. | ПроверкаЕслиНеСуществует, Отключено | 1.0.1 |
| Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между ресурсами вычислений и хранилища не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Посетите https://aka.ms/diskencryptioncomparison, чтобы сравнить варианты шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | АудитЕслиНеСуществует, Отключено | 1.2.1 |
| Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Аудит, Отклонить, Отключено | 1.1.0 |
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | ПроверитьЕслиНеСуществует, Отключено | 2.0.0 |
| Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на хосте включает шифрование в состоянии покоя для вашего временного диска и кэшей дисков с ОС/данными. Временные и эфемерные диски ОС шифруются ключами, управляемыми платформой, при включении шифрования на хосте. Кэши дисков ОС/данных шифруются в состоянии покоя с использованием либо ключа, управляемого клиентом, либо ключа, управляемого платформой, в зависимости от типа шифрования, выбранного для диска. Узнайте больше по адресу https://aka.ms/vm-hbe. | Аудит, Отклонено, Отключено | 1.0.0 |
| Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между ресурсами вычислений и хранилища не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Посетите https://aka.ms/diskencryptioncomparison, чтобы сравнить предложения по шифрованию. Эта политика требует развертывания двух предварительных условий для области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
Использование параметра ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Идентификатор: Microsoft cloud security benchmark DP-5 Ответственность: Общая
| Имя. (портал Azure) |
Description | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: системы Azure Stack HCI должны иметь зашифрованные тома | Используйте BitLocker для шифрования томов ОС и данных в системах Azure Stack HCI. | ревизия, отключено, ревизия, если не существует | 1.0.0 (предварительная версия) |
| Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) | Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. | Аудит, Отказать, Отключено | 2.2.0 |
| Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. | аудит, Аудит, отказать, Отказать, отключено, Отключено | 1.1.0 |
| Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом | Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. | Аудит, Запретить, Отключено | 1.1.0 |
| Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. | Аудит, Запретить, Отключено | 1.1.2 |
| Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте управляемые клиентом ключи для управления шифрованием данных в состоянии покоя на ваших серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists, Отключено | 1.0.4 |
| Серверы PostgreSQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием данных в состоянии покоя на Ваших серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists, Отключено | 1.0.4 |
| Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Аудит, Отказать, Отключено | 2.0.0 |
| Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Аудит, Запретить, Отключено | 2.0.1 |
| В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Когда вы указываете ключ, управляемый клиентом, этот ключ используется для защиты и контроля доступа к ключу, который шифрует ваши данные. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Аудит, Отключено | 1.0.3 |
Использование безопасного процесса управления ключами
Идентификатор: Оценка безопасности облака Microsoft DP-6 Владение: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Секреты с именованными значениями для управления API должны храниться в Azure Key Vault | Именованные значения — это коллекция пар имен и значений в каждой службе управления API. Значения секретов можно хранить как зашифрованный текст в Управление API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Чтобы повысить безопасность управления API и секретов, используйте ссылку на именованные значения секретов из Azure Key Vault. Azure Key Vault поддерживает гранулярное управление доступом и политики ротации секретов. | Аудит, Отключено, Запретить | 1.0.2 |
| Для ключей Key Vault должна быть задана дата окончания срока действия | Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Аудит, Запретить, Отключено | 1.0.2 |
| Для секретов Key Vault должна быть задана дата окончания срока действия | Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. | Аудит, Запретить, Отключено | 1.0.2 |
Использование безопасного процесса управления сертификатами
Идентификатор: microsoft cloud security benchmark DP-7 Ownership: Shared
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Сертификаты должны иметь указанный максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. | аудит, Аудит, отклони, Отклонить, отключен, Отключен | 2.2.1 |
Обеспечение безопасности репозитория ключей и сертификатов
Идентификатор: Microsoft cloud security benchmark DP-8 Право собственности: Совместное
| Имя. (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Хранилище ключей Azure должно включать брандмауэр или отключен доступ к общедоступной сети | Включите брандмауэр хранилища ключей, чтобы хранилище ключей по умолчанию не было доступно для общедоступных IP-адресов или отключите доступ к общедоступной сети для хранилища ключей, чтобы он не был доступен через общедоступный Интернет. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. Дополнительные сведения см. по ссылкам https://docs.microsoft.com/azure/key-vault/general/network-security и https://aka.ms/akvprivatelink | Аудит, Запретить, Отключено | 3.3.0 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Аудит, Отклонить, Отключено | 2.1.0 |
| В хранилищах ключей должно быть включено мягкое удаление | Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. | Аудит, Отклонить, Отключено | 3.0.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | АудитЕслиНеСуществует, Отключено | 5.0.0 |
Управление активами
Использование только утвержденных служб
Идентификатор: критерий безопасности облака Microsoft AM-2 Владение: Общая
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Платформа Azure API Management должна быть версии stv2 | Версия платформы вычислений Azure API управление stv1 будет прекращена с 31 августа 2024 года, и данные экземпляры должны быть перенесены на вычислительную платформу stv2 для продолжения поддержки. Дополнительные сведения см. на странице https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Аудит, Запретить, Отключено | 1.0.0 |
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Аудит, Отклонить, Отключено | 1.0.0 |
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Аудит, Отклонить, Отключено | 1.0.0 |
Обеспечение безопасности для управления жизненным циклом ресурса
Идентификатор: Контрольные показатели безопасности облака Microsoft AM-3 Ответственность: Совместное использование
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Неиспользуемые API-интерфейсы должны быть отключены и удалены из службы Управления API Azure | В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользующимися и должны быть удалены из службы azure Управление API. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности для вашей организации. Это могут быть API, которые должны были быть сняты с поддержки в службе Azure API Management, но могут быть случайно оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. | ПроверкаЕслиНеСуществует, Отключено | 1.0.1 |
Ведение журналов и обнаружение угроз
Включение возможностей обнаружения угроз
Идентификатор: эталон безопасности облака Microsoft LT-1 Владение: Совместно
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | АудитЕслиНеСуществует, Отключено | 6.0.0-preview |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | ПроверкаЕслиНеСуществует, Отключено | 1.0.3 |
| Azure Defender для реляционных баз данных с открытым кодом должен быть включен | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Ознакомьтесь с ценами на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| Azure Defender для Диспетчера ресурсов должен быть активирован | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | АудитЕслиНеСуществует, Отключено | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | AuditIfNotExists, Disabled | 1.0.0 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Audit, Disabled | 2.0.1 |
| CSPM в Microsoft Defender должен быть включен | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности управления безопасностью и новый интеллектуальный график облачной безопасности для выявления, определения приоритетов и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для API | Microsoft Defender для API предлагает новые возможности для обнаружения, защиты, выявления и реагирования, чтобы отслеживать типичные атаки на API и ошибки в конфигурации безопасности. | ПроверитьЕслиНеСуществует, Отключено | 1.0.3 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Отключено | 1.0.0 |
| Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает Synapse SQL для обнаружения подозрительной активности, указывающей на необычные и потенциально опасные попытки доступа к базам данных или их использования. | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| Для серверов SQL с поддержкой Arc, защита состояния Microsoft Defender для SQL должна быть обеспечена | Microsoft Defender для SQL предоставляет функциональные возможности для обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, обнаружению и классификации конфиденциальных данных. После включения состояние защиты указывает, что ресурс активно отслеживается. Даже если Защитник включен, необходимо проверить несколько параметров конфигурации на агенте, компьютере, рабочей области и сервере SQL Server, чтобы обеспечить активную защиту. | Аудит, Отключено | 1.1.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| Автоматическая подготовка, ориентированная на SQL Server, должна быть включена для серверов в соответствии с планом использования машин. | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга Azure, предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоконфигурацию агента Microsoft Monitoring Agent, так как этот компонент устаревает. Подробнее: https://aka.ms/SQLAMAMigration | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Windows Defender Exploit Guard использует агент конфигурации гостей на основе политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Включение функции обнаружения угроз для управления удостоверениями и доступом
Идентификатор: Microsoft облачный стандарт безопасности LT-2 Владение: Совместное
| Имя. (портал Azure) |
Description | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для реляционных баз данных с открытым кодом должен быть включен | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнайте о ценах на странице Центра безопасности: https://aka.ms/pricing-security-center. | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| Azure Defender для Resource Manager должен быть включён | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled (ПроверкаЕслиНеСуществует, отключено) | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | АудитЕслиНеСуществует, Отключено | 2.0.1 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | AuditIfNotExists, Отключено | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | Аудит если не существует (AuditIfNotExists), Отключено | 1.0.0 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | ПроверкаЕслиНеСуществует, Отключено | 1.0.2 |
| В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Аудит, Отключено | 2.0.1 |
| CSPM в Microsoft Defender должен быть включен | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности контроля безопасности и новую интеллектуальную схему облачной безопасности для выявления, расстановки приоритетов и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | ПроверитьЕслиНеСуществует, Отключено | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает Synapse SQL для обнаружения подозрительной активности, указывающей на необычные и потенциально опасные попытки доступа к базам данных или их использования. | AuditIfNotExists, Disabled | 1.0.0 |
| Состояние Microsoft Defender для SQL должно быть защищено для SQL-серверов с поддержкой Arc | Microsoft Defender для SQL предоставляет функциональные возможности для обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, обнаружению и классификации конфиденциальных данных. После включения состояние защиты указывает, что ресурс активно отслеживается. Даже если Защитник включен, необходимо проверить несколько параметров конфигурации на агенте, компьютере, рабочей области и сервере SQL Server, чтобы обеспечить активную защиту. | Аудит, Отключено | 1.1.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| Автопредоставление, направленное на серверы SQL, должно быть включено для серверов SQL. | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга Azure, предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоконфигурацию агента Microsoft Monitoring, так как этот компонент будет устаревать. Подробнее: https://aka.ms/SQLAMAMigration | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Windows Defender Exploit Guard использует агент гостевой конфигурации Azure Policy. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | АудитЕслиНеСуществует, Отключено | 2.0.0 |
Включить ведение журнала для расследования инцидентов безопасности
Идентификатор: Microsoft Cloud Security Benchmark LT-3 Владение: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов в приложении. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | АудитЕслиНеСуществует, Отключено | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Аудит вашего SQL Server должен быть включен для отслеживания действий во всех базах данных на сервере и сохранения их в журнале аудита. | AuditIfNotExists, Отключено | 2.0.0 |
| Журналы диагностики в ресурсах служб ИИ Azure должны быть включены | Включите журналы для ресурсов служб ИИ Azure. Это позволяет повторно создавать тропы действий для расследования, когда происходит инцидент безопасности или сеть скомпрометирована. | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Отключено | 5.0.0 |
| Журналы ресурсов в рабочих областях Azure Databricks должны быть включены | Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. | AuditIfNotExists, Disabled | 1.0.1 |
| Журналы ресурсов в Службе Azure Kubernetes должны быть включены | Журналы ресурсов Службы Azure Kubernetes позволяют восстановить порядок действий при расследовании инцидентов с безопасностью. Убедитесь, что ведение журналов включено, чтобы они были доступны при необходимости. | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| Журналы ресурсов в рабочих областях Машинное обучение Azure должны быть включены | Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. | AuditIfNotExists, Disabled | 1.0.1 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы активности для использования в целях расследования, когда происходит инцидент безопасности или сеть подвергается компрометации. | AuditIfNotExists, Disabled | 5.0.0 |
| В учетных записях Batch должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Отключено | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволяет воссоздать цепочки активности для использования в целях расследования, когда возникает инцидент безопасности или происходит компрометация вашей сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать трассировку действий для использования в целях расследования, в случае инцидентов безопасности и при компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре Интернета вещей должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 3.1.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволяет воссоздавать следы активности для целей расследования, когда происходит инцидент безопасности или компрометация сети. | ПроверкаЕслиНеСуществует, Отключено | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволяет воссоздавать следы активности для использования в расследованиях в случае инцидентов безопасности или компрометации сети. | ПроверкаЕслиНеСуществует, Отключено | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволяет воссоздавать следы действий для расследования в случаях, когда происходит инцидент безопасности или скомпрометирована ваша сеть. | AuditIfNotExists, Disabled | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволяет воссоздать следы активности для использования в целях расследования при возникновении инцидентов безопасности или компрометации сети. | AuditIfNotExists, Отключено | 5.0.0 |
Включение ведения сетевого журнала для исследования безопасности
Идентификатор: microsoft cloud security benchmark LT-4 Ownership: Shared
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | ПроверкаЕслиНеСуществует, Отключено | 1.0.2-preview |
Централизованное управление журналами безопасности и их анализ.
Идентификатор: Microsoft Cloud Security Benchmark LT-5 Принадлежность: Совместная
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics | Эта политика выполняет аудит машин Azure Arc, если расширение Log Analytics не установлено. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
Настройка срока хранения журналов
Идентификатор: Microsoft Cloud Security Benchmark LT-6 Владение: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL Server с аудитом, где в качестве назначения указана учетная запись хранения, необходимо установить время хранения 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | АудитЕслиНеСуществует, Отключено | 3.0.0 |
Реакция на инцидент
Подготовка. Настройка уведомления об инциденте
Идентификатор: контрольный показатель безопасности облачных служб Microsoft IR-2 Владение: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | ПроверкаЕслиНеСуществует, Отключено | 1.2.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | ПроверкаЕслиНеСуществует, Отключено | 2.1.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | АудитЕслиНеСуществует, Отключено | 1.0.1 |
Обнаружение и анализ. Создание инцидентов на основе высококачественных оповещений
Идентификатор: эталон Microsoft для облачной безопасности IR-3 Владение: совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Отключено | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | ЕслиНетАудита, Отключено | 1.0.3 |
| Azure Defender для реляционных баз данных с открытым кодом должен быть включен | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнайте о ценах на странице Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Для Resource Manager следует включить Azure Defender | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | АудитЕслиНеСуществует, Отключено | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | ПроверкаЕслиНеСуществует, Отключено | 2.0.1 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Провести аудит каждого управляемого экземпляра SQL без расширенной защиты данных. | АудитЕслиНеСуществует, Отключено (AuditIfNotExists, Disabled) | 1.0.2 |
| CSPM в Microsoft Defender должен быть включен | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности управления положением в области безопасности и новый интеллектуальный граф облачной безопасности для выявления, определения приоритетов и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для API | Microsoft Defender для API обеспечивает новые возможности обнаружения, защиты, обнаружения и реагирования с целью мониторинга типичных API-атак и некорректных настроек безопасности. | ПроверитьЕслиНеСуществует, Отключено | 1.0.3 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает Synapse SQL для обнаружения подозрительной активности, указывающей на необычные и потенциально опасные попытки доступа к базам данных или их использования. | AuditIfNotExists, Disabled | 1.0.0 |
| Состояние Microsoft Defender для SQL должно быть защищено для СЕРВЕРОВ SQL с поддержкой Arc | Microsoft Defender для SQL предоставляет функциональные возможности для обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, обнаружению и классификации конфиденциальных данных. После включения состояние защиты указывает, что ресурс активно отслеживается. Даже если Защитник включен, необходимо проверить несколько параметров конфигурации на агенте, компьютере, рабочей области и сервере SQL Server, чтобы обеспечить активную защиту. | Аудит, Отключено | 1.1.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Функция автоматического конфигурирования, предназначенная для SQL Server, должна быть включена для SQL-серверов в плане машин. | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга Azure, предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоматическое конфигурирование агента Microsoft Monitoring Agent, так как этот компонент устаревает. Подробнее: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
Обнаружение и анализ. Исследование инцидента
Идентификатор: стандарт безопасности облака Майкрософт IR-4 Ответственность: Shared
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | АудитЕслиНеСуществует, Отключено | 3.0.0 |
Обнаружение и анализ.Определение приоритетов инцидентов
ID: AMicrosoft стандарт безопасности облака IR-5 Владение: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | АудитЕслиНет, Отключено | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | АудитЕслиНеСуществует, Отключено | 1.0.3 |
| Azure Defender для реляционных баз данных с открытым кодом должен быть включен | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнайте о ценах на странице Центра безопасности: https://aka.ms/pricing-security-center. | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| Azure Defender должен быть включен для диспетчера ресурсов | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | ПроверкаЕслиНеСуществует, Отключен | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | АудитЕслиНеСуществует, Отключено | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | ПроверкаЕслиНеСуществует, Отключено | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проведение аудита каждого Управляемого экземпляра SQL без Расширенной защиты данных. | АудитЕслиНеСуществует, Отключено | 1.0.2 |
| CSPM в Microsoft Defender должен быть включен | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности управления безопасностью и новый интеллектуальный граф облачной безопасности для выявления, приоритезации и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | ПроверкаЕслиНеСуществует, Отключено | 1.0.0 |
| Необходимо включить Microsoft Defender для API | Microsoft Defender для API обеспечивает новый уровень обнаружения, защиты, выявления и быстрого реагирования для отслеживания распространенных API-атак и ошибочной настройки безопасности. | AuditIfNotExists, Отключено | 1.0.3 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает Synapse SQL для обнаружения подозрительной активности, указывающей на необычные и потенциально опасные попытки доступа к базам данных или их использования. | AuditIfNotExists, Отключено | 1.0.0 |
| Состояние Microsoft Defender для SQL должно быть защищено для СЕРВЕРОВ SQL с поддержкой Arc | Microsoft Defender для SQL предоставляет функциональные возможности для обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, обнаружению и классификации конфиденциальных данных. После включения состояние защиты указывает, что ресурс активно отслеживается. Даже если Защитник включен, необходимо проверить несколько параметров конфигурации на агенте, компьютере, рабочей области и сервере SQL Server, чтобы обеспечить активную защиту. | Аудит, Отключено | 1.1.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Автоподготовка, ориентированная на серверы SQL, должна быть включена для серверов SQL на компьютерах. | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга Azure, предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоподготовку агента Microsoft Monitoring Agent, так как этот компонент выводится из эксплуатации. Подробнее: https://aka.ms/SQLAMAMigration | ЕслиАудитНеСуществует (AuditIfNotExists), Отключено (Disabled) | 1.0.0 |
Управление состоянием защиты и уязвимостью
Проведение аудита и внедрение безопасных конфигураций
Идентификатор: Microsoft Cloud Security Benchmark PV-2 Ответственность: Совместная
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Конечная точка непосредственного управления API не должна быть включена | REST API прямого управления в Azure Управление API обходит управление доступом на основе ролей, авторизацию и регулирование Azure Resource Manager, что повышает уязвимость вашей услуги. | Аудит, Отключено, Запретить | 1.0.2 |
| В качестве минимальной версии API для Управления API должна быть установлена версия от 01.12.2019 или более поздняя | Чтобы запретить общий доступ к секретам служб пользователям с правами только для чтения, в качестве минимальной версии API должна быть установлена версия 2019-12-01 или более поздняя. | Аудит, Отказать, Отключено | 1.0.1 |
| Приложения службы приложений должны иметь включенные клиентские сертификаты (входящие клиентские сертификаты) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Отключено | 2.0.0 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | АудитЕслиНеСуществует, Отключено | 2.0.0 |
| Версия платформы Azure API Management должна быть stv2 | Версия вычислительной платформы Azure API Management stv1 будет выведена из эксплуатации 31 августа 2024 года, и эти экземпляры должны быть перенесены на платформу вычислений stv2 для обеспечения дальнейшей поддержки. Дополнительные сведения см. на странице https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Аудит, Запретить, Отключено | 1.0.0 |
| Кластеры Kubernetes с поддержкой от Azure Arc должны иметь расширение Azure Policy | Расширение Политики Azure для Azure Arc обеспечивает согласованное и централизованное применение масштабных мер безопасности для кластеров Kubernetes с поддержкой Arc. Узнайте больше по адресу https://aka.ms/akspolicydoc. | АудитЕслиНеСуществует, Отключено | 1.1.0 |
| Вычислительные экземпляры Azure Machine Learning следует пересоздать, чтобы получить последние обновления программного обеспечения | Убедитесь, что экземпляры вычислений Azure Machine Learning работают на последней доступной операционной системе. Безопасность улучшается, а уязвимости сокращаются за счет выполнения последних исправлений безопасности. Дополнительные сведения см. на странице https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка "Политика Azure" для службы Kubernetes (AKS) расширяет функциональность Gatekeeper v3, веб-перехватчика контроллера допуска для Open Policy Agent (OPA), позволяя централизованно и последовательно применять правила и меры защиты для кластеров в широком масштабе. | Аудит, Отключено | 1.0.2 |
| Приложения-функции должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | АудитЕслиНеСуществует, Отключено | 1.0.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | ПроверкаЕслиНеСуществует, Отключено | 2.0.0 |
| В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Механизм междоменного обмена ресурсами (CORS) не должен разрешать доступ к вашему функциональному приложению всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Отключено | 2.0.0 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказать, Отказать, отключено, Отключено | 9.3.0 |
| Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса хоста и IPC хоста | Блокировка совместного использования контейнерами pod пространства имен идентификаторов процессов хоста и пространства имен IPC хоста в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказ, Отказ, отключено, Отключено | 5.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказать, Отказать, отключено, Отключено | 6.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничьте возможности, чтобы уменьшить поверхность атаки контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказать, Отказать, отключено, Отключено | 6.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отклонить, Отклонить, отключено, Отключено | 9.3.0 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Запуск контейнеров с корневой файловой системой только для чтения для защиты от изменений во время выполнения, когда вредоносные двоичные файлы добавляются в PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказ, Отказ, отключено, Отключено | 6.3.0 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запрет, Запрет, отключено, Отключено | 6.2.0 |
| Поды и контейнеры в кластере Kubernetes должны запускаться только с утвержденными пользовательскими и групповыми ID | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые поды и контейнеры могут использовать для работы в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказать, Отказать, отключен, Отключен | 6.2.0 |
| Pod'ы в кластере Kubernetes должны использовать только утвержденные сетевые настройки хоста и диапазон портов | Ограничьте доступ pod к сети узла и допустимый диапазон портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказать, Отказать, отключено, Отключено | 6.2.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничьте службы, чтобы они прослушивали только на разрешённых портах для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключённый, Отключённый | 8.2.0 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказать, Отказать, отключен, Отключен | 9.2.0 |
| Кластеры Kubernetes должны отключить учетные данные API автоподключения | Отключите автоподключение учетных данных API, чтобы предотвратить потенциально скомпрометированный ресурс Pod от выполнения API-команд в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказать, Отказать, отключено, Отключено | 4.2.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Не позволяйте контейнерам выполняться с повышением привилегий до полного доступа в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказ, Отказ, отключено, Отключено | 7.2.0 |
| Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | Чтобы сократить площадь атаки контейнеров, ограничьте возможности Linux CAP_SYS_ADMIN. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отклонить, Отклонить, отключено, Отключено | 5.1.0 |
| Кластеры Kubernetes не должны использовать пространство имен по умолчанию | Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, отказать, Отказать, отключено, Отключено | 4.2.0 |
Проведение аудита и реализация безопасных конфигураций вычислительных ресурсов
Идентификатор: эталон безопасности облачных служб Microsoft PV-4 Владение: Общий
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: серверы Azure Stack HCI должны последовательно применять политики управления приложениями | Как минимум, примените базовую политику Microsoft WDAC в принудительном режиме на всех серверах Azure Stack HCI. Примененные политики управления приложениями Защитника Windows (WDAC) должны быть согласованы между серверами в одном кластере. | Аудит, Отключено, АудитЕслиНеСуществует | 1.0.0 (предварительная версия) |
| [предварительная версия]: серверы Azure Stack HCI должны соответствовать требованиям Secured-core | Убедитесь, что все серверы Azure Stack HCI соответствуют требованиям secured-core. Чтобы включить требования к серверу Secured-core: 1. На странице кластеров Azure Stack HCI перейдите в Центр администрирования Windows и выберите "Подключиться". 2. Перейдите к расширению безопасности и выберите Secured-core. 3. Выберите любой параметр, который не включен, и нажмите кнопку "Включить". | Аудит (Audit), Отключено (Disabled), АудитЕслиНеСуществует (AuditIfNotExists) | 1.0.0 (предварительная версия) |
| [Предварительная версия]: На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | Установите расширение аттестации гостевой системы на поддерживаемых виртуальных машинах Linux, чтобы центр безопасности Azure мог осуществлять проактивную аттестацию и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. | АудитЕслиНеСуществует, Отключено | 6.0.0-preview |
| [Предварительная версия]: Расширение Guest Attestation должно быть установлено на поддерживаемых масштабируемых наборах виртуальных машин Linux | Установите расширение аттестации гостей на поддерживаемые масштабируемые наборы виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять проактивную аттестацию и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка распространяется на масштабируемые наборы виртуальных машин с доверенным запуском и конфиденциальных виртуальных машин Linux. | AuditIfNotExists, Disabled | 5.1.0-preview |
| [Предварительная версия]: Расширение аттестации гостей должно быть установлено на поддерживаемых виртуальных машинах Windows | Установите расширение аттестации гостевой ОС на поддерживаемых виртуальных машинах, чтобы Центр безопасности Azure мог превентивно оценивать и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | АудитЕслиНеСуществует, Отключено | 4.0.0 (предварительная версия) |
| [Предварительная версия]. Расширение аттестации гостей должно быть установлено в поддерживаемых масштабируемых наборах виртуальных машин Windows | Установите расширение для аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы Центр безопасности Azure мог проактивно оценивать и контролировать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к виртуальным машинам Windows с доверенным запуском и конфиденциальным масштабируемым наборам виртуальных машин. | AuditIfNotExists, Отключено | 3.1.0-preview |
| [предварительная версия]: виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки | Все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака обнаружил ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите обнаруженные компоненты. | AuditIfNotExists, Отключено | 1.0.0 (предварительная версия) |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | Включение безопасной загрузки на поддерживаемых виртуальных машинах Windows помогает предотвратить вредоносные и несанкционированные изменения в цепочке загрузки. После включения будут разрешены к использованию только доверенные загрузчики, ядро и драйверы ядра. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | Аудит, Отключено | 4.0.0 (предварительная версия) |
| [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. | Аудит, Отключено | 2.0.0-preview |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | ПроверкаЕслиНеСуществует, Отключено | 1.0.3 |
| Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется системно назначаемое управляемое удостоверение. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | АудитЕслиНеСуществует, Отключено | 1.0.1 |
| Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Отключено | 2.0.0 |
Выполнение оценок уязвимости
Идентификатор: контрольный показатель безопасности облака Microsoft PV-5 Владение: совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, этот инструмент может быть автоматически развернут Центром безопасности. | AuditIfNotExists (АудитЕслиНеСуществует), Disabled (Отключено) | 3.0.0 |
| Машины должны иметь устраненные тайные выводы | Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. | ПроверкаЕслиНеСуществует, Отключено | 1.0.2 |
| В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверьте каждый Управляемый экземпляр SQL, в котором не включены регулярные сканирования для оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
| На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Быстрое и автоматическое устранение уязвимостей
Идентификатор: Microsoft Cloud Security Benchmark PV-6 Владение: Разделено
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе управления уязвимостей Microsoft Defender) | Оценка уязвимостей образа контейнера производит сканирование вашего реестра на наличие общепринятых уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, гарантируя, что образы безопасны для использования до развертывания. | AuditIfNotExists, Disabled | 1.0.1 |
| У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых изображений, которые сейчас работают в кластерах Kubernetes. Устранение уязвимостей в запущенных образах контейнеров является ключевым аспектом улучшения вашей безопасности, значительно уменьшая поверхность атаки для работы в контейнерах. | АудитЕслиНеСуществует, Отключено | 1.0.1 |
| Компьютеры должны быть настроены для периодической проверки отсутствия обновлений системы | Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Аудит, Отклонить, Отключено | 3.7.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | ПроверятьЕслиНеСуществует, Отключено | 4.1.0 |
| Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, Отключено | 1.0.0 |
| На компьютерах должны быть установлены обновления системы (на базе Центра обновления) | На ваших компьютерах пропущены критические обновления, в том числе обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | АудитЕслиНеСуществует, Отключено | 1.0.1 |
Безопасность конечной точки
Использование обнаружения и реагирования на конечных точках (EDR)
Идентификатор: Microsoft cloud security benchmark ES-1 Принадлежность: Shared
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Использование современного программного обеспечения для борьбы с вредоносными программами
Идентификатор: Microsoft cloud security benchmark ES-2 Право собственности: Общий
| Имя. (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Эксплойт-гард в Windows Defender использует агент гостевой конфигурации Azure Policy. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | ПроверкаЕслиНеСуществует, Отключено | 2.0.0 |
Резервное копирование и восстановление
Обеспечение регулярного автоматического резервного копирования
Идентификатор: Microsoft облачный стандарт безопасности BR-1 Право собственности: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | ПроверкаЕслиНеСуществуют, Отключено | 3.0.0 |
| Для базы данных Azure для MariaDB должно быть включено геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, Отключено | 1.0.1 |
| Необходимо включить геоизбыточное резервное копирование для базы данных Azure MySQL | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| Для базы данных Azure для PostgreSQL должно быть включено геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, Отключено | 1.0.1 |
Защищать данные резервного копирования и восстановления
Идентификатор: эталон безопасности облака Microsoft BR-2 Право собственности: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | АудитЕслиНеСуществует, Отключено | 3.0.0 |
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, Отключено | 1.0.1 |
| Следует включить геоизбыточное резервное копирование для базы данных Azure для MySQL | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| Геоизбыточное резервное копирование должно быть включено для базы данных Azure PostgreSQL | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, Отключено | 1.0.1 |
Безопасность DevOps
Обеспечение безопасности рабочей нагрузки в течение всего жизненного цикла DevOps
Идентификатор: контрольный показатель безопасности облака Microsoft DS-6 Владение: Совместное
| Имя. (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Контейнерные образы в реестре Azure должны содержать только исправленные уязвимости (на базе управления уязвимостями от Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. | AuditIfNotExists, Отключено | 1.0.1 |
| У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Microsoft Defender для управления уязвимостями) | Оценка уязвимостей образа контейнера сканирует реестр на наличие известных уязвимостей (CVE) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация предоставляет информацию о работающих в настоящее время в кластерах Kubernetes уязвимых образах. Исправление уязвимостей в образах контейнеров, которые в настоящее время запущены, является ключом к улучшению общей безопасности, значительно уменьшая область атаки для контейнеризованных нагрузок. | AuditIfNotExists, Отключено | 1.0.1 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- Просмотрите другие примеры в разделе примеров политики Azure.
- Изучите влияние политики.
- Узнайте, как исправлять несоответствующие ресурсы.