Поделиться через


Определения встроенных инициатив в Политике Azure

Эта страница представляет собой индекс определений встроенных инициатив в Политике Azure.

Имя каждой из встроенных инициатив связано с источником определения инициативы в репозитории GitHub для Политики Azure. Встроенные инициативы группируются по свойству category (категория) в метаданных. Чтобы перейти к определенной категории, используйте ctrl-F для функции поиска в браузере.

Автоматическое управление

Имя Описание Политики Версия
[предварительная версия]: настройка аудита в отношении рекомендаций по автоуправляемой работе Рекомендации по автоуправляемой машине обеспечивают настройку управляемых ресурсов в соответствии с требуемым состоянием, определенным в назначенном профиле конфигурации. 6 1.0.1 (предварительная версия)

ChangeTrackingAndInventory

Имя Описание Политики Версия
[предварительная версия]: включение ChangeTracking и инвентаризации для виртуальных машин с поддержкой Arc Включение ChangeTracking и инвентаризации для виртуальных машин с поддержкой Arc. Принимает идентификатор правила сбора данных в качестве параметра и запрашивает возможность ввода применимых расположений. 6 1.0.0 (предварительная версия)
[предварительная версия]: включение ChangeTracking и инвентаризации для масштабируемых наборов виртуальных машин Включите ChangeTracking и Inventory для масштабируемых наборов виртуальных машин. Принимает идентификатор правила сбора данных в качестве параметра и запрашивает возможность ввода применимых расположений и назначаемого пользователем удостоверения для агента Azure Monitor. 7 1.1.0 (предварительная версия)
[предварительная версия]: включение ChangeTracking и инвентаризации для виртуальных машин Включите ChangeTracking и Inventory для виртуальных машин. Принимает идентификатор правила сбора данных в качестве параметра и запрашивает возможность ввода применимых расположений и назначаемого пользователем удостоверения для агента Azure Monitor. 7 1.1.0 (предварительная версия)

Cosmos DB

Имя Описание Политики Версия
Включение политики пропускной способности Azure Cosmos DB Включение управления пропускной способностью для ресурсов Azure Cosmos DB в указанной области (группа управления, подписка или группа ресурсов). В качестве параметра принимается максимальная пропускная способность. Используйте эту политику, чтобы обеспечить управление пропускной способностью с помощью поставщика ресурсов. 2 1.0.0

Общие

Имя Описание Политики Версия
Разрешить ресурсы затрат на использование Разрешить развертывание ресурсов, кроме MCPP, M365. 2 1.0.0

Гостевая конфигурация

Имя Описание Политики Версия
[Предварительная версия]. Развертывание необходимых компонентов для включения политик гостевой конфигурации на виртуальных машинах с помощью управляемого удостоверения, назначаемого пользователем Эта инициатива добавляет управляемое удостоверение, назначаемое пользователем, и развертывает соответствующее платформе расширение гостевой конфигурации на виртуальных машинах, которые могут отслеживаться с помощью политик гостевой конфигурации. Это обязательный компонент для всех политик гостевой конфигурации, который необходимо назначить области назначения политики перед использованием любой политики гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. 3 1.0.0 (предварительная версия)
[предварительная версия]: компьютеры Windows должны соответствовать требованиям к базовой системе безопасности вычислений Azure. Эта инициатива осуществляет аудит компьютеров под управлением Windows с параметрами, не соответствующими базовой конфигурации безопасности вычислений Azure. Дополнительные сведения см. по адресу https://aka.ms/gcpol. 29 2.0.1-preview
Аудит компьютеров с ненадежными параметрами безопасности паролей Эта инициатива развертывает требуемые компоненты политики и осуществляет аудит компьютеров с ненадежными параметрами безопасности пароля. Дополнительные сведения о политиках гостевой конфигурации: https://aka.ms/gcpol 9 1.1.0
Настройка протоколов безопасной связи (TLS 1.1 или TLS 1.2) на компьютере Windows (включая предварительные требования) Создает назначение гостевой конфигурации (включая предварительные требования), чтобы настроить указанную версию защищенного протокола (TLS 1.1 или TLS 1.2) на компьютере Windows. Дополнительные сведения см. на странице https://aka.ms/SetSecureProtocol. 3 1.0.0
Развернуть необходимые компоненты, чтобы включить политики гостевой конфигурации на виртуальных машинах Эта инициатива добавляет управляемое удостоверение, назначаемое системой, и развертывает соответствующее платформе расширение гостевой конфигурации на виртуальных машинах, которые могут отслеживаться с помощью политик гостевой конфигурации. Это обязательный компонент для всех политик гостевой конфигурации, который необходимо назначить области назначения политики перед использованием любой политики гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. 4 1.0.0

Kubernetes

Имя Описание Политики Версия
[Предварительная версия]. Использование целостности изображений для обеспечения развертывания только доверенных образов Используйте целостность изображений, чтобы обеспечить развертывание кластеров AKS только доверенных образов, включив целостность изображений и Политика Azure надстройки в кластерах AKS. Надстройка целостности изображений и надстройка Политика Azure являются предварительными условиями использования целостности изображений для проверки того, подписан ли образ при развертывании. Дополнительные сведения см. в статье https://aka.ms/aks/image-integrity. 3 1.1.0 (предварительная версия)
[Предварительная версия]: средства защиты развертывания должны помочь разработчикам в отношении рекомендуемых рекомендаций AKS Коллекция рекомендаций Kubernetes, рекомендуемых Служба Azure Kubernetes (AKS). Для лучшего использования используйте средства защиты развертывания, чтобы назначить эту инициативу политики: https://aka.ms/aks/deployment-safeguards Политика Azure надстройка для AKS является необходимым условием для применения этих рекомендаций к кластерам. Инструкции по включению надстройки Политика Azure см. в aka.ms/akspolicydoc 20 1.9.0-preview
Стандарты базовой конфигурации безопасности объектов pod в кластере Kubernetes для рабочих нагрузок Linux Эта инициатива включает политики стандартов базовой конфигурации безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. 5 1.4.0
Стандарты безопасности объектов pod в кластере Kubernetes для рабочих нагрузок Linux Эта инициатива включает политики стандартов безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. 8 2.5.0

Управляемое удостоверение

Имя Описание Политики Версия
[предварительная версия]: федеративные учетные данные управляемого удостоверения должны иметь утвержденные типы из утвержденных источников федерации Управление использованием федеративных учетных данных для управляемых удостоверений. Эта инициатива позволяет политикам блокировать учетные данные федеративных удостоверений в целом, ограничивать использование определенных типов поставщиков федерации и ограничивать повторное размещение федерации утвержденным источникам. 3 1.0.0 (предварительная версия)

Наблюдение

Имя Описание Политики Версия
[предварительная версия]. Настройка Azure Defender для агентов SQL на виртуальных машинах Настройте виртуальные машины для автоматической установки агентов Azure Defender для SQL с установленным агентом Azure Monitor. Центр безопасности собирает события, поступающие от агентов, и предоставляет на их основе оповещения системы безопасности и специализированные задачи для усиления защиты (рекомендации). Создайте группу ресурсов и рабочую область Log Analytics в том же регионе, где находится компьютер. Эта политика применяется только к виртуальным машинам в нескольких регионах. 2 1.0.0 (предварительная версия)
Настройка компьютеров Linux для запуска агента Azure Monitor и их сопоставления с правилом сбора данных Отслеживайте и обеспечивайте безопасность виртуальных машин Linux, масштабируемых наборов виртуальных машин и компьютеров Arc, развернув расширение агента Azure Monitor и сопоставив компьютеры с указанным правилом сбора данных. Развертывание будет выполняться на компьютерах с поддерживаемыми образами ОС (или компьютерами, соответствующими предоставленному списку образов) в поддерживаемых регионах. 4 3.2.0
Настройка компьютеров Windows для запуска агента Azure Monitor и их сопоставления с правилом сбора данных Отслеживайте и обеспечивайте безопасность виртуальных машин Windows, масштабируемых наборов виртуальных машин и компьютеров Arc, развернув расширение агента Azure Monitor и сопоставив компьютеры с указанным правилом сбора данных. Развертывание будет выполняться на компьютерах с поддерживаемыми образами ОС (или компьютерами, соответствующими предоставленному списку образов) в поддерживаемых регионах. 4 3.2.0
Развертывание агента Azure Monitor для Linux с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем, и сопоставление с Правилом сбора данных Контролируйте виртуальные машины Linux и масштабируемые наборы виртуальных машин, развернув расширение агента Azure Monitor с управляемым удостоверением, назначаемым пользователем, и выполнив сопоставление с указанным правилом сбора данных. Развертывание агента Azure Monitor будет выполняться на компьютерах с поддерживаемыми образами ОС (или компьютерами, соответствующими предоставленному списку образов) в поддерживаемых регионах. 5 2.3.0
Развертывание агента Azure Monitor для Windows с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем, и сопоставление с Правилом сбора данных Контролируйте виртуальные машины Windows и масштабируемые наборы виртуальных машин, развернув расширение агента Azure Monitor с управляемым удостоверением, назначаемым пользователем, и выполнив сопоставление с указанным правилом сбора данных. Развертывание агента Azure Monitor будет выполняться на компьютерах с поддерживаемыми образами ОС (или компьютерами, соответствующими предоставленному списку образов) в поддерживаемых регионах. 5 2.3.0
Включение ведения журнала ресурсов группы категорий allLogs для поддерживаемых ресурсов в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта инициатива развертывает параметр диагностики с помощью группы категорий allLogs для маршрутизации журналов в Концентратор событий для всех поддерживаемых ресурсов. 140 1.0.0
Включение ведения журнала ресурсов группы категорий allLogs для поддерживаемых ресурсов в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта инициатива развертывает параметр диагностики с помощью группы категорий allLogs для маршрутизации журналов в Концентратор событий для всех поддерживаемых ресурсов. 140 1.0.0
Включение ведения журнала ресурсов группы категорий allLogs для поддерживаемых ресурсов в хранилище Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта инициатива развертывает параметр диагностики с помощью группы категорий allLogs для маршрутизации журналов в хранилище для всех поддерживаемых ресурсов. 140 1.0.0
Включение ведения журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в Концентратор событий Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта инициатива развертывает параметр диагностики с помощью группы категорий аудита для маршрутизации журналов в Концентратор событий для всех поддерживаемых ресурсов. 69 1.1.0
Включение ведения журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в Log Analytics Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта инициатива развертывает параметр диагностики с помощью группы категорий аудита для маршрутизации журналов в Log Analytics для всех поддерживаемых ресурсов. 69 1.1.0
Включение ведения журнала ресурсов группы аудита для поддерживаемых ресурсов в хранилище Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта инициатива развертывает параметр диагностики с помощью группы категорий аудита для маршрутизации журналов в хранилище для всех поддерживаемых ресурсов. 69 1.1.0
Включение Azure Monitor для гибридных виртуальных машин с помощью AMA Включите Azure Monitor для виртуальных машин (ВМ) с помощью AMA. 6 1.0.0
Включение Azure Monitor для виртуальных машин с помощью агента мониторинга Azure (AMA) Включите Azure Monitor для виртуальных машин (ВМ) с помощью AMA. 7 1.2.0
Включение Azure Monitor для масштабируемых наборов виртуальных машин с помощью агента мониторинга Azure (AMA) Включите Azure Monitor для масштабируемого набора виртуальных машин с помощью AMA. 7 1.2.0
Прежняя версия: включение Azure Monitor для масштабируемых наборов виртуальных машин Прежняя версия: включите Azure Monitor для масштабируемых наборов виртуальных машин в указанной области (группа управления, подписка или группа ресурсов). В качестве параметра принимается рабочая область Log Analytics. Используйте новую инициативу под названием "Включение Azure Monitor для масштабируемых наборов виртуальных машин с помощью агента мониторинга Azure (AMA)". Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. 6 1.0.2
Прежняя версия. Включение Azure Monitor для виртуальных машин Прежняя версия: включите Azure Monitor для виртуальных машин (ВМ) в указанной области (группа управления, подписка или группа ресурсов). В качестве параметра принимается рабочая область Log Analytics. Используйте новую инициативу под названием "Включение Azure Monitor для виртуальных машин с помощью агента мониторинга Azure (AMA)". 10 2.0.1

Network

Имя Описание Политики Версия
Журналы потоков должны быть настроены и включены для каждой группы безопасности сети Аудит для групп безопасности сети, чтобы проверить, настроены ли журналы потоков и включено ли состояние журнала потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. 2 1.0.0

Связь

Имя Описание Политики Версия
[предварительная версия]: базовые показатели безопасности вычислительных кластеров Nexus Эта инициатива включает политики, предназначенные для отражения базовых показателей безопасности вычислительных кластеров Nexus. Это гарантирует, что конфигурации кластера соответствуют определенным элементам управления безопасностью, которые критически важны для поддержания безопасной среды. 13 1.0.0 (предварительная версия)

Соответствие нормативным требованиям

Имя Описание Политики Версия
[Предварительная версия]: Australian Government ISM PROTECTED Эта инициатива включает политики, которые обеспечивают соответствие требованиям "Руководства по информационной безопасности", публикуемого полномочным органом Австралии. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/auism-initiative. 45 8.6.0-preview
[предварительная версия]: CMMC 2.0 уровня 2 Эта инициатива включает политики для соответствия подмножеству нормативных требований CMMC 2.0 Уровня 2. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/cmmc2l2-initiative. 234 2.15.0-preview
[Предварительная версия]: Американская ассоциация кинокомпаний (MPAA) Эта инициатива включает политики аудита и развертывания расширений виртуальных машин, соответствующие рекомендациям и требованиям к обеспечению безопасности Американской ассоциации кинокомпаний (MPAA). В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/mpaa-init. 33 4.4.0-preview;
[предварительная версия]: Резервный банк Индии — ИТ-платформа для банков Эта инициатива включает в себя политику, которая касается подмножества резервного банка Индии ИТ-платформы для банков. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/rbiitfbanks-initiative. 156 1.16.0-preview
[предварительная версия]: Резервный банк Индии — IT Framework для NBFC Эта инициатива включает политики, которые охватывают подмножество элементов управления ИТ-инфраструктуры Резервного банка Индии для небанковских финансовых компаний (NBFC). В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/rbiitfnbfc-initiative. 124 2.12.0-preview
[предварительная версия]: базовый уровень суверенитета — конфиденциальные политики Microsoft Cloud для суверенитета рекомендует конфиденциальные политики, чтобы помочь организациям достичь своих целей суверенитета по умолчанию, запрещая создание ресурсов за пределами утвержденных регионов, запрещая ресурсы, которые не поддерживаются конфиденциальными вычислениями Azure, и запрещая ресурсы хранилища данных, которые не используют ключи, управляемые клиентом. Дополнительные сведения см. здесь: https://aka.ms/SovereigntyBaselinePolicies 17 1.0.1 (предварительная версия)
[предварительная версия]: базовый уровень суверенитета — глобальные политики Microsoft Cloud для суверенитета рекомендует глобальной политике помочь организациям достичь своих целей суверенитета по умолчанию, отрицая создание ресурсов за пределами утвержденных регионов. Дополнительные сведения см. здесь: https://aka.ms/SovereigntyBaselinePolicies 5 1.1.0 (предварительная версия)
[Предварительная версия]: SWIFT CSP-CSCF v2020 Эта инициатива включает политики аудита и развертывания расширений виртуальных машин, соответствующие требованиям CSP-CSCF v2020. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/swift2020-init. 52 6.4.0-preview
[предварительная версия]: SWIFT CSP-CSCF версии 2021 Эта инициатива включает политики, которые охватывают подмножество элементов управления Customer Security Controls Framework v2021 в рамках Программы безопасности пользователей SWIFT. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/swift2021-init. 127 4.11.0-preview
ACAT для сертификации Microsoft 365 Средство автоматизации соответствия приложений для Microsoft 365 (ACAT) упрощает процесс достижения сертификации Microsoft 365, см. в статье https://aka.ms/acat. Эта сертификация гарантирует, что приложения имеют строгие методики безопасности и соответствия требованиям для защиты данных клиентов, безопасности и конфиденциальности. Эта инициатива включает политики, касающиеся подмножества элементов управления сертификации Microsoft 365. В будущих выпусках будут добавлены дополнительные политики. 16 1.1.0
Canada Federal PBMM Эта инициатива включает политики для соответствия подмножеству нормативных требований Канадского федерального PBMM. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/canadafederalpbmm-init. 49 8.5.0
Тесты для оценки безопасности CIS для платформ Microsoft Azure версии 1.1.0 Центр безопасности в Интернете (CIS) — это некоммерческая организация, которая ставит своей задачей "определение, развитие, проверку, продвижение и поддержание решений с лучшими методиками в сфере киберзащиты". Эталоны CIS — это основы конфигурации и передовые методы по безопасной настройке системы. Эти политики предназначены для подмножества элементов управления CIS Microsoft Azure Foundations Benchmark версии 1.1.0. Дополнительные сведения: https://aka.ms/cisazure110-initiative 157 16.8.0
CIS Microsoft Azure Foundations Benchmark версии 1.3.0 Центр безопасности в Интернете (CIS) — это некоммерческая организация, которая ставит своей задачей "определение, развитие, проверку, продвижение и поддержание решений с лучшими методиками в сфере киберзащиты". Эталоны CIS — это основы конфигурации и передовые методы по безопасной настройке системы. Эти политики охватывают подмножество директив CIS Microsoft Azure Foundations Benchmark v1.3.0. Дополнительные сведения: https://aka.ms/cisazure130-initiative 173 8.11.0
CIS Microsoft Azure Foundations Benchmark версии 1.4.0 Центр безопасности в Интернете (CIS) — это некоммерческая организация, которая ставит своей задачей "определение, развитие, проверку, продвижение и поддержание решений с лучшими методиками в сфере киберзащиты". Эталоны CIS — это основы конфигурации и передовые методы по безопасной настройке системы. Эти политики охватывают подмножество директив CIS Microsoft Azure Foundations Benchmark v1.4.0. Дополнительные сведения: https://aka.ms/cisazure140-initiative 171 1.11.0
CIS Microsoft Azure Foundations Benchmark версии 2.0.0 Центр безопасности в Интернете (CIS) — это некоммерческая организация, которая ставит своей задачей "определение, развитие, проверку, продвижение и поддержание решений с лучшими методиками в сфере киберзащиты". Эталоны CIS — это основы конфигурации и передовые методы по безопасной настройке системы. Эти политики предназначены для подмножества элементов управления CIS Microsoft Azure Foundations Benchmark версии 2.0.0. Дополнительные сведения: https://aka.ms/cisazure200-initiative 208 1.4.0
CMMC уровня 3 Эта инициатива включает политики, соответствующие некоторым требованиям Cybersecurity Maturity Model Certification (CMMC) уровня 3. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/cmmc-initiative. 152 11.10.0
FedRAMP — высокий уровень FedRAMP — это программа на уровне правительства США, которая обеспечивает стандартный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и служб. FedRAMP определяет набор элементов управления для систем низкого, умеренного или высокого уровня влияния на безопасность на основе базовых элементов управления NIST. Эти политики касаются подмножества элементов управления FedRAMP (High). Дополнительные сведения: https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp 719 17.16.0
FedRAMP — средний уровень FedRAMP — это программа на уровне правительства США, которая обеспечивает стандартный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и служб. FedRAMP определяет набор элементов управления для систем низкого, умеренного или высокого уровня влияния на безопасность на основе базовых элементов управления NIST. Эти политики касаются подмножества элементов управления FedRAMP (умеренный). В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения: https://www.fedramp.gov/documents-templates/ 650 17.15.0
HITRUST/HIPAA Альянс доверия к здравоохранению (HITRUST) помогает организациям из всех секторов, но особенно в области здравоохранения эффективно управлять данными, информационными рисками и соответствием требованиям. Сертификация HITRUST означает, что организация прошла тщательную оценку программы информационной безопасности. Эти политики рассматривают подмножество элементов управления HITRUST. Дополнительные сведения: https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 600 14.7.0
IRS1075, сентябрь 2016 г. Эта инициатива включает политики для соответствия подмножеству нормативных требований IRS1075 по состоянию на сентябрь 2016 года. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/irs1075-init. 52 8.5.0
ISO 27001:2013 Стандарт ISO 27001 международной организации по стандартизации (ISO) 27001 предоставляет требования к созданию, реализации, поддержанию и непрерывному улучшению системы управления информационной безопасностью (ISMS). Эти политики предназначены для подмножества элементов управления ISO 27001:2013. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения: https://aka.ms/iso27001-init 456 8.5.0
Новая Зеландия ISM NZISM версии 3.8. Руководство по информационной безопасности Новой Зеландии (NZISM) описывает процессы и контроль, необходимые для защиты всей информации и систем правительства Новой Зеландии. Эта инициатива включает политики, касающиеся подмножества элементов управления NZISM. В будущих выпусках будут добавлены дополнительные политики. Полные сведения об элементах управления см. в статье https://www.nzism.gcsb.govt.nz/ism-document. Этот набор политик включает определения, которые имеют эффект "Запретить" по умолчанию. 217 1.5.0
NIST SP 800-171, ред. 2 Национальный институт стандартов и технологий США (NIST) способствует и поддерживает стандарты измерения и руководящие принципы, помогающие защитить информационные и информационные системы федеральных учреждений. В ответ на исполнительный указ 13556 по управлению контролируемой неклассифицированной информацией (CUI), она опубликовала NIST SP 800-171. Эти политики предназначены для подмножества элементов управления NIST SP 800-171 ред. 2. Дополнительные сведения: https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 449 15.15.0
NIST SP 800-53, ред. 4 Национальный институт стандартов и технологий (NIST) SP 800-53 R4 обеспечивает стандартный подход для оценки, мониторинга и авторизации продуктов и служб облачных вычислений для управления рисками информационной безопасности. Эти политики предназначены для подмножества элементов управления NIST SP 800-53 R4. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения: https://aka.ms/nist800-53r4-initiative 720 17.15.0
NIST SP 800-53, ред. 5 Национальный институт стандартов и технологий (NIST) SP 800-53 ред. 5 обеспечивает стандартный подход для оценки, мониторинга и авторизации продуктов и служб облачных вычислений для управления рисками информационной безопасности. Эти политики предназначены для подмножества элементов управления NIST SP 800-53 R5. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения: https://aka.ms/nist800-53r5-initiative 705 14.15.0
Тема облака NL BIO Эта инициатива включает политики, касающиеся элементов управления Информативебилинг (BIO) нидерландских базовых показателей (BIO) специально для элементов управления "thema-uitwerking Clouddiensten" и включают политики, охватываемые элементами управления SOC2 и ISO 27001:2013. 242 1.9.0
PCI DSS версии 4 Стандарты безопасности данных в сфере платежных карт (PCI DSS) — это глобальный стандарт информационной безопасности, предназначенный для предотвращения мошенничества путем тщательного контроля данных кредитных карт. Соответствие требованиям PCI DSS требуется для любой организации, которая хранит, обрабатывает или передает данные о оплате и держателе карт. Эти политики рассматривают подмножество элементов управления PCI-DSS версии 4. Дополнительные сведения: https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 275 1.5.0
PCI v3.2.1:2018 Эта инициатива включает политики для соответствия подмножеству нормативных требований PCI v3.2.1:2018. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. на странице https://aka.ms/pciv321-init. 33 6.4.0
RMIT Малайзия Эта инициатива включает политики для соответствия подмножеству требований RMIT. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения приведены на сайте aka.ms/rmit-initiative. 194 9.13.0
SOC 2 Type 2 Система и управление организацией (SOC) 2 — это отчет, основанный на принципах и критериях службы доверия, установленных Американским институтом сертифицированных государственных бухгалтеров (AICPA). Отчет оценивает информационную систему организации, соответствующую следующим принципам: безопасность, доступность, целостность обработки, конфиденциальность и конфиденциальность. Эти политики предназначены для подмножества элементов управления SOC 2 Типа 2. Дополнительные сведения: https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 311 1.10.0
Испания ENS Эта инициатива включает в себя политики, касающиеся контроля схемы национальной безопасности (ENS) специально для ccN-STIC 884. Этот набор политик включает определения, которые имеют эффект "Запретить" по умолчанию. 864 1.4.0
SWIFT CSP-CSCF версии 2022 Программа безопасности клиентов SWIFT (CSP) помогает финансовым учреждениям обеспечить актуальность и эффективность защиты от кибератак, чтобы защитить целостность более широкой финансовой сети. Пользователи сравнивают меры безопасности, которые они реализовали, с теми, которые подробно описаны в платформе управления безопасностью клиентов (CSCF). Эти политики решают подмножество элементов управления SWIFT. Дополнительные сведения: https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 331 2.8.0
UK OFFICIAL и UK NHS Эта инициатива включает политики аудита и развертывания расширений виртуальных машин, соответствующие требованиям UK OFFICIAL и UK NHS. В будущих выпусках будут добавлены дополнительные политики. Дополнительные сведения см. по адресу https://aka.ms/ukofficial-init и https://aka.ms/uknhs-init. 49 9.5.0

Устойчивость

Имя Описание Политики Версия
[предварительная версия]: ресурсы должны быть устойчивыми к зонам Некоторые типы ресурсов можно развернуть с избыточностью между зонами (например, База данных SQL); некоторые могут быть развернуты в соответствии с зонами (например, Виртуальные машины); некоторые из этих типов можно развернуть либо выравнивание по зонам, либо избыточность между зонами (например, Масштабируемые наборы виртуальных машин). Выравнивание зоны не гарантирует устойчивость, но это основа, на которой можно создать устойчивое решение (например, три Масштабируемые наборы виртуальных машин зоны, выровненные по трем разным зонам в одном регионе с подсистемой балансировки нагрузки). Дополнительные сведения см. в разделе https://aka.ms/AZResilience . 34 1.10.0-preview

SDN-

Имя Описание Политики Версия
Аудит доступа к общедоступной сети Аудит ресурсов Azure, разрешающих доступ из общедоступного Интернета 35 4.2.0
Оценка использования приватных каналов для всех поддерживаемых ресурсов Azure У ресурсов, соответствующих требованиям, существует по крайней мере одно утвержденное подключение частной конечной точки 30 1.1.0

Центр безопасности

Имя Описание Политики Версия
[Предварительная версия] Развертывание агента Microsoft Defender для конечной точки Развертывание агента Microsoft Defender для конечной точки в соответствующих образах. 4 1.0.0 (предварительная версия)
Настройка включения Расширенной защиты от угроз для реляционных баз данных с открытым кодом Включите Расширенную защиту от угроз для реляционных баз данных с открытым кодом небазового уровня, чтобы обнаружить аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или их использования. См. раздел https://aka.ms/AzDforOpenSourceDBsDocu. 5 1.2.0
Настройка включения Azure Defender на серверах SQL Server и Управляемых экземплярах SQL Включение Azure Defender на серверах SQL Server и Управляемых экземплярах SQL Azure позволяет обнаруживать подозрительную активность, указывающую на необычные и потенциально опасные попытки доступа к базам данных или использования в них эксплойта. 3 3.0.0
Настройка планов Microsoft Defender для облака Microsoft Defender для облака предоставляет комплексные облачные средства защиты от разработки до среды выполнения в нескольких облачных средах. Используйте инициативу политики для настройки планов и расширений Defender для облака для включения выбранных областей. 11 1.0.0
Настройка включения Microsoft Defender для баз данных Настройте Microsoft Defender для Баз данных, чтобы защитить Базы данных SQL Azure, Управляемые экземпляры, Реляционные базы данных с открытым исходным кодом и Cosmos DB. 4 1.0.0
Настройка нескольких параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака Настройте несколько параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION и т. д.). См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. 3 1.0.0
Настройка виртуальных машин SQL и серверов SQL с поддержкой Arc для установки Microsoft Defender для SQL и AMA с рабочей областью LA Microsoft Defender для SQL собирает события от агентов и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создает группу ресурсов и правило сбора данных и рабочую область Log Analytics в том же регионе, что и компьютер. 9 1.3.0
Настройка виртуальных машин SQL и серверов SQL с поддержкой Arc для установки Microsoft Defender для SQL и AMA с определяемой пользователем рабочей областью LA Microsoft Defender для SQL собирает события от агентов и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создает группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. 8 1.2.0
Управление безопасностью в облаке Майкрософт Инициатива microsoft cloud security benchmark представляет политики и элементы управления, реализующие рекомендации по безопасности, определенные в microsoft cloud security benchmark, см. в разделе https://aka.ms/azsecbm. Она также выступает в качестве инициативы политики по умолчанию для Microsoft Defender для облака. Вы можете напрямую назначить эту инициативу или управлять ее политиками и результатами соответствия в Microsoft Defender для облака. 228 57.45.0

SQL

Имя Описание Политики Версия
База данных SQL Azure должна иметь проверку подлинности только для Microsoft Entra Требовать проверку подлинности только для Microsoft Entra для База данных SQL Azure, отключая локальные методы проверки подлинности. Это позволяет получать доступ исключительно через удостоверения Microsoft Entra, повышая безопасность с помощью современных улучшений проверки подлинности, включая MFA, единый вход и без секрета программный доступ с управляемыми удостоверениями. 2 1.0.0
Управляемый экземпляр SQL Azure должна иметь проверку подлинности только для Microsoft Entra Требовать проверку подлинности только для Microsoft Entra для управляемого экземпляра SQL Azure, отключая локальные методы проверки подлинности. Это позволяет получать доступ исключительно через удостоверения Microsoft Entra, повышая безопасность с помощью современных улучшений проверки подлинности, включая MFA, единый вход и без секрета программный доступ с управляемыми удостоверениями. 2 1.0.0

Synapse

Имя Описание Политики Версия
Настройка рабочих областей Synapse для мандатов только для проверки подлинности microsoft Entra Требовать и настраивать проверку подлинности только для Microsoft Entra для рабочих областей Synapse, отключая локальные методы проверки подлинности. Это позволяет получать доступ исключительно через удостоверения Microsoft Entra, повышая безопасность с помощью современных улучшений проверки подлинности, включая MFA, единый вход и без секрета программный доступ с управляемыми удостоверениями. 2 1.0.0
Рабочие области Synapse должны иметь проверку подлинности только для Microsoft Entra Требовать проверку подлинности только для Microsoft Entra для рабочих областей Synapse, отключая локальные методы проверки подлинности. Это позволяет получать доступ исключительно через удостоверения Microsoft Entra, повышая безопасность с помощью современных улучшений проверки подлинности, включая MFA, единый вход и без секрета программный доступ с управляемыми удостоверениями. 2 1.0.0

Доверенный запуск

Имя Описание Политики Версия
[Предварительная версия]. Настройка необходимых компонентов для включения гостевой аттестации на виртуальных машинах с поддержкой доверенного запуска Настройка на виртуальных машинах с поддержкой доверенного запуска автоматической установки расширения аттестации гостей и включение управляемого удостоверения, назначаемого системой, чтобы позволить Центру безопасности Azure осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. Дополнительные сведения см. по следующей ссылке: https://aka.ms/trustedlaunch 7 3.0.0-preview

VirtualEnclaves

Имя Описание Политики Версия
[Предварительная версия]: управление использованием AKS в виртуальном анклавах Эта инициатива развертывает политики Azure для AKS, обеспечивая защиту границ этого ресурса во время работы в логической структуре Виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 9 1.0.0 (предварительная версия)
[Предварительная версия]: управление использованием Служба приложений в виртуальном анклавах Эта инициатива развертывает политики Azure для Служба приложений обеспечения защиты границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 44 1.0.0 (предварительная версия)
[Предварительная версия]: управление использованием реестра контейнеров в виртуальном анклавах Эта инициатива развертывает политики Azure для реестра контейнеров, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 8 1.0.0 (предварительная версия)
[Предварительная версия]: управление использованием CosmosDB в виртуальном анклавах Эта инициатива развертывает политики Azure для CosmosDB, обеспечивая защиту границ этого ресурса во время работы в логической структуре Виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 8 1.0.0 (предварительная версия)
[Предварительная версия]: управление использованием параметров диагностики для определенных ресурсов в виртуальном анклавах Эта инициатива развертывает политики Azure для обеспечения конфигурации определенных типов ресурсов в Виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 25 1.0.0 (предварительная версия)
[Предварительная версия]: управление использованием Key Vault в виртуальном анклавах Эта инициатива развертывает политики Azure для Key Vault, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 2 1.0.0 (предварительная версия)
[Предварительная версия]: управление использованием Microsoft SQL в виртуальном анклавах Эта инициатива развертывает политики Azure для Microsoft SQL, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 24 1.0.0 (предварительная версия)
[предварительная версия]: управление использованием PostgreSql в виртуальном анклавах Эта инициатива развертывает политики Azure для PostgreSql, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 10 1.0.0 (предварительная версия)
[предварительная версия]: управление использованием служебная шина в виртуальном анклавах Эта инициатива развертывает политики Azure для служебная шина обеспечения защиты границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 7 1.0.0 (предварительная версия)
[предварительная версия]: управление использованием учетных записей хранения в виртуальном анклавах Эта инициатива развертывает политики Azure для учетных записей хранения, обеспечивая защиту границ этого ресурса во время работы в логической структуре виртуальных анклавах Azure. https://aka.ms/VirtualEnclaves 11 1.1.0 (предварительная версия)

Следующие шаги