Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены Политика Azure встроенные определения инициатив политики, связанные с Microsoft тестом облачной безопасности версии 2. Каждый элемент управления из теста сопоставляется с одним или несколькими определениями Политика Azure. Дополнительные сведения см. в полном Политика Azure файле определения инициативы.
Compliant в Политика Azure относится только к определениям политик. Это не гарантирует полного соответствия всем требованиям элемента управления. Стандарт соответствия включает элементы управления, которые в настоящее время не рассматриваются Политика Azure определениями. Поэтому соответствие в Политика Azure является лишь частичным представлением общего состояния соответствия.
Связи между элементами управления и определениями Политика Azure для этого стандарта соответствия могут меняться с течением времени.
AI-1. Обеспечение использования утвержденных моделей
Дополнительные сведения см. в статье "Безопасность искусственного интеллекта: ИИ-1: обеспечение использования утвержденных моделей".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| [предварительная версия]: развертывания Машинное обучение Azure должны использовать только утвержденные модели реестра | Ограничение развертывания моделей реестра для управления внешними моделями, используемыми в организации | Ревизия; Отрицать; Нетрудоспособный | 1.0.0-preview |
| [Предварительная версия]: развертывания Cognitive Services должны использовать только разрешенную фильтрацию содержимого завершения | Оставьте минимальные уровни фильтрации содержимого для завершения развертывания моделей в организации. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| [предварительная версия]: развертывания Cognitive Services должны использовать только разрешенный управляющий элемент | Требуйте минимальные уровни фильтрации вредного содержимого с различными уровнями серьезности для развертывания моделей в вашей организации. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| [Предварительная версия]: развертывания Cognitive Services должны использовать только разрешённый управляющий режим | Обязать режим фильтрации содержимого для развертываний моделей в вашей организации. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| [Предварительная версия]. Развертывания Cognitive Services должны использовать только разрешенную фильтрацию содержимого запроса | Установите минимальные уровни фильтрации содержимого для оперативного контента при развертывании моделей в вашей организации. | Ревизия; Нетрудоспособный | 1.0.0-preview |
AM-2. Использование только утвержденных служб
Дополнительные сведения см. в статье "Управление активами: AM-2: использование только утвержденных служб".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| версия платформы Azure API Management должна быть stv2 | Azure API Management версия вычислительной платформы stv1 будет прекращена с 31 августа 2024 года, и эти экземпляры должны быть перенесены на платформу вычислений stv2 для продолжения поддержки. Дополнительные сведения см. в API Management stv1— глобальное облако Azure (август 2024 г.) | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| учетные записи Storage следует перенести на новые ресурсы Azure Resource Manager | Используйте новые Azure Resource Manager для учетных записей хранения, чтобы обеспечить такие улучшения безопасности, как более строгий контроль доступа (RBAC), улучшение аудита, Azure Resource Manager развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, Azure Проверка подлинности на основе AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| учетные записи Storage следует перенести на новые ресурсы Azure Resource Manager | Используйте новые Azure Resource Manager для учетных записей хранения, чтобы обеспечить такие улучшения безопасности, как более строгий контроль доступа (RBAC), улучшение аудита, Azure Resource Manager развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, Azure Проверка подлинности на основе AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
AM-3: обеспечение безопасности управления жизненным циклом
Дополнительные сведения см. в статье "Управление активами: AM-3: обеспечение безопасности управления жизненным циклом активов".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| API конечные точки, которые не используются, должны быть отключены и удалены из службы Azure API Management | В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и должны быть удалены из службы Azure API Management. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности для вашей организации. Это могут быть API, которые должны были быть устаревшими из службы Azure API Management, но могут быть случайно оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
BR-1. Обеспечение регулярного автоматического резервного копирования
Дополнительные сведения см. в статье "Резервное копирование и восстановление": BR-1: обеспечение регулярных автоматических резервных копий.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Azure Backup следует включить для Виртуальные машины | Обеспечьте защиту Виртуальные машины Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных для Azure. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Настройка резервного копирования виртуальных машин, не имеющих заданного тега, в новое хранилище служб восстановления с использованием политики по умолчанию | Принудительно выполните резервное копирование всех виртуальных машин, развернув хранилище Служб восстановления в том же расположении и группе ресурсов, где находится виртуальная машина. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. https://aka.ms/AzureVMAppCentricBackupExcludeTag. | AuditIfNotExists; DeployIfNotExists; Отключен | 9.5.0 |
| Настройка резервного копирования на виртуальных машинах без заданного тега в существующее хранилище служб восстановления в том же расположении | Принудительно выполните резервное копирование всех виртуальных машин, создав их резервную копию в существующем центральном хранилище Служб восстановления в том же расположении и подписке, где находится виртуальная машина. Это полезно, если в организации есть центральная рабочая группа, управляющая резервными копиями всех ресурсов в подписке. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. https://aka.ms/AzureVMCentralBackupExcludeTag. | AuditIfNotExists; DeployIfNotExists; Отключен | 9.5.0 |
| Для базы данных Azure MariaDB должно быть включено геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Его можно задать для геоизбыточного резервного копирования storage в котором данные хранятся не только в регионе, в котором размещен сервер, но и реплицируется в парный регион, чтобы предоставить возможность восстановления в случае сбоя региона. Настройка геоизбыточного storage для резервного копирования разрешена только во время создания сервера. | Ревизия; Нетрудоспособный | 1.0.1 |
| Геоизбыточное резервное копирование должно быть включено для База данных Azure для MySQL | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Его можно задать для геоизбыточного резервного копирования storage в котором данные хранятся не только в регионе, в котором размещен сервер, но и реплицируется в парный регион, чтобы предоставить возможность восстановления в случае сбоя региона. Настройка геоизбыточного storage для резервного копирования разрешена только во время создания сервера. | Ревизия; Нетрудоспособный | 1.0.1 |
| Забыточное резервное копирование должно быть включено для База данных Azure для PostgreSQL | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Его можно задать для геоизбыточного резервного копирования storage в котором данные хранятся не только в регионе, в котором размещен сервер, но и реплицируется в парный регион, чтобы предоставить возможность восстановления в случае сбоя региона. Настройка геоизбыточного storage для резервного копирования разрешена только во время создания сервера. | Ревизия; Нетрудоспособный | 1.0.1 |
| Для учетных записей хранения следует включить геоизбыточное хранилище | Использование геоизбыточности для создания высокодоступных приложений | Ревизия; Нетрудоспособный | 1.0.0 |
| Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| [предварительная версия]: для хранилищ резервных копий необходимо включить многопользовательскую авторизацию (MUA). | Эта политика проверяет, включена ли многопользовательская авторизация (MUA) для резервных хранилищ. MUA помогает защитить резервные хранилища, добавив дополнительный уровень защиты к критически важным операциям. Дополнительные сведения см. по адресу https://aka.ms/mua-for-bv. | Ревизия; Нетрудоспособный | 1.0.0-preview |
BR-2. Защита данных резервного копирования и восстановления
Дополнительные сведения см. в статье "Резервное копирование и восстановление: BR-2: защита данных резервного копирования и восстановления".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Azure Backup следует включить для Виртуальные машины | Обеспечьте защиту Виртуальные машины Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных для Azure. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Для базы данных Azure MariaDB должно быть включено геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Его можно задать для геоизбыточного резервного копирования storage в котором данные хранятся не только в регионе, в котором размещен сервер, но и реплицируется в парный регион, чтобы предоставить возможность восстановления в случае сбоя региона. Настройка геоизбыточного storage для резервного копирования разрешена только во время создания сервера. | Ревизия; Нетрудоспособный | 1.0.1 |
| Геоизбыточное резервное копирование должно быть включено для База данных Azure для MySQL | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Его можно задать для геоизбыточного резервного копирования storage в котором данные хранятся не только в регионе, в котором размещен сервер, но и реплицируется в парный регион, чтобы предоставить возможность восстановления в случае сбоя региона. Настройка геоизбыточного storage для резервного копирования разрешена только во время создания сервера. | Ревизия; Нетрудоспособный | 1.0.1 |
| Забыточное резервное копирование должно быть включено для База данных Azure для PostgreSQL | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Его можно задать для геоизбыточного резервного копирования storage в котором данные хранятся не только в регионе, в котором размещен сервер, но и реплицируется в парный регион, чтобы предоставить возможность восстановления в случае сбоя региона. Настройка геоизбыточного storage для резервного копирования разрешена только во время создания сервера. | Ревизия; Нетрудоспособный | 1.0.1 |
| [предварительная версия]: неизменяемость должна быть включена для хранилищ резервных копий | Эта политика проверяет, включено ли свойство неизменяемых хранилищ для хранилищ резервных копий в области. Это помогает защитить данные резервного копирования от удаления до его предполагаемого истечения срока действия. Дополнительные сведения см. в Concept неизменяемого хранилища для Azure Backup. | Ревизия; Нетрудоспособный | 1.0.1-preview |
| [предварительная версия]: неизменяемость должна быть включена для хранилищ служб восстановления | Эта политика проверяет, включено ли свойство неизменяемых хранилищ для хранилищ служб восстановления в области. Это помогает защитить данные резервного копирования от удаления до его предполагаемого истечения срока действия. Дополнительные сведения см. в Concept неизменяемого хранилища для Azure Backup. | Ревизия; Нетрудоспособный | 1.0.1-preview |
| [предварительная версия]: обратимое удаление должно быть включено для хранилищ служб восстановления. | Эта политика проверяет, включен ли обратимое удаление для хранилищ служб восстановления в области. Обратимое удаление может помочь вам восстановить данные даже после удаления. Узнайте больше по адресу https://aka.ms/AB-SoftDelete. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| [предварительная версия]: обратимое удаление должно быть включено для резервных хранилищ | Эта политика проверяет, включена ли обратимое удаление для хранилищ резервных копий в области. Обратимое удаление может помочь вам восстановить данные после удаления. Дополнительные сведения см. в Overview расширенного обратимого удаления для Azure Backup | Ревизия; Нетрудоспособный | 1.0.0-preview |
DP-1: обнаружение, классификация и метка конфиденциальных данных
Дополнительные сведения см. в разделе Data Protection: DP-1: Обнаружение, классификация и метка конфиденциальных данных.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Microsoft Defender для API следует включить | Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и освещение ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные
Дополнительные сведения см. в статье Data Protection: DP-2: мониторинг аномалий и угроз, предназначенных для конфиденциальных данных.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Azure Defender для серверов База данных SQL Azure следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для серверов SQL на компьютерах следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для SQL следует включить для незащищенных управляемых экземпляров SQL | Аудит каждого Управляемый экземпляр SQL без расширенной безопасности данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для реляционных баз данных с открытым кодом следует включить | Azure Defender для реляционных баз данных с открытым кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. Дополнительные сведения о возможностях Azure Defender реляционных баз данных с открытым кодом см. в Overview Defender для Open-Source реляционных баз данных. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Сведения о ценах на странице цен центра безопасности: Прикинг — Microsoft Defender для облака | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для API следует включить | Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и освещение ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Microsoft Defender для хранилища следует включить | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новая Defender плана хранения включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (на storage учетную запись) для контроля над покрытием и затратами. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
DP-3. Шифрование конфиденциальных данных при передаче
Дополнительные сведения см. в разделе "Защита данных: DP-3: шифрование конфиденциальных данных при передаче".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| A настраиваемая политика IPsec/IKE должна применяться ко всем подключениям шлюза виртуальной сети Azure | Эта политика гарантирует, что все подключения шлюза виртуальной сети Azure используют настраиваемую политику безопасности протокола Интернета (Ipsec)/Internet Key Exchange(IKE). Поддерживаемые алгоритмы и сила ключа — https://aka.ms/AA62kb0 | Ревизия; Нетрудоспособный | 1.0.0 |
| API API Management должны использовать только зашифрованные протоколы | Чтобы обеспечить безопасность передаваемых данных, API-интерфейсы должны быть доступны только через зашифрованные протоколы, такие как HTTPS или WSS. Избегайте использования незащищенных протоколов, таких как HTTP или WS. | Ревизия; Нетрудоспособный; Отрицать | 2.0.2 |
| App Service слоты приложений должны включать завершение шифрования | Включение сквозного шифрования обеспечивает шифрование внешнего трафика между интерфейсными App Service интерфейсами и рабочими нагрузками приложений, выполняющих рабочие нагрузки приложений. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Слоты приложения Службы приложений должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Ревизия; Нетрудоспособный; Отрицать | 2.0.0 |
| слоты приложений App Service должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений App Service, чтобы воспользоваться преимуществами исправлений безопасности( если таковые имеются) и (или) новых функций последней версии. | AuditIfNotExists; Нетрудоспособный | 1.2.0 |
| приложения App Service должны включать завершение шифрования | Включение сквозного шифрования обеспечивает шифрование внешнего трафика между интерфейсными App Service интерфейсами и рабочими нагрузками приложений, выполняющих рабочие нагрузки приложений. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| приложения App Service должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Ревизия; Нетрудоспособный; Отрицать | 4.0.0 |
| приложения App Service должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| приложения App Service должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений App Service, чтобы воспользоваться преимуществами исправлений безопасности( если таковые имеются) и (или) новых функций последней версии. | AuditIfNotExists; Нетрудоспособный | 2.2.0 |
| Среда службы приложений следует настроить с помощью самых надежных наборов шифров TLS | Два наиболее минимальных и сильных набора шифров, необходимые для правильной работы Среда службы приложений, : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 и TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Ревизия; Нетрудоспособный | 1.0.0 |
| Среда службы приложений должен иметь внутреннее шифрование | Задание InternalEncryption для шифрования файла страницы, рабочих дисков и внутреннего сетевого трафика между внешними концами и рабочими ролей в Среда службы приложений. Дополнительные сведения см. в разделе Параметры конфигурацииCustom для сред App Service. | Ревизия; Нетрудоспособный | 1.0.1 |
| Среда службы приложений должен иметь протокол TLS 1.0 и 1.1 отключен | TLS 1.0 и 1.1 являются устаревшими протоколами, которые не поддерживают современные алгоритмы шифрования. Отключение входящего трафика TLS 1.0 и 1.1 помогает защитить приложения в Среда службы приложений. | Ревизия; Отрицать; Нетрудоспособный | 2.0.1 |
| пакетная служба Azure пулы должны иметь шифрование дисков | Включение шифрования пакетная служба Azure диска гарантирует, что данные всегда шифруются на пакетная служба Azure вычислительном узле. Дополнительные сведения о шифровании дисков в пакетной службе Создание пула с включенным шифрованием дисков. | Ревизия; Нетрудоспособный; Отрицать | 1.0.0 |
| Azure Front Door Standard и Premium должны работать с минимальной версией TLS 1.2 | Установка минимальной версии TLS до версии 1.2 повышает безопасность, обеспечивая доступ к личным доменам от клиентов с помощью TLS 1.2 или более поздней версии. Использование версий TLS меньше 1.2 не рекомендуется, так как они слабы и не поддерживают современные криптографические алгоритмы. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| кластеры Azure HDInsight должны использовать шифрование при передаче для шифрования связи между узлами кластера Azure HDInsight | Данные могут быть изменены во время передачи между узлами кластера Azure HDInsight. Включение шифрования при передаче устраняет проблемы неправильного использования и изменения во время этой передачи. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| База данных SQL Azure должен работать с TLS версии 1.2 или более поздней | Настройка TLS версии 1.2 или более поздней повышает безопасность, обеспечивая доступ к База данных SQL Azure только от клиентов с помощью TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Ревизия; Нетрудоспособный; Отрицать | 2.0.0 |
| Azure Synapse Рабочая область SQL Server должна работать под управлением TLS версии 1.2 или более поздней | Настройка TLS версии 1.2 или более поздней повышает безопасность, обеспечивая доступ к серверу SQL server Azure Synapse рабочей области только из клиентов с помощью TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Конечная точка Служба Bot должна быть допустимым URI HTTPS | Данные могут быть изменены во время передачи. Протоколы существуют, обеспечивающие шифрование для решения проблем неправильного использования и изменения. Чтобы убедиться, что боты взаимодействуют только через зашифрованные каналы, задайте для конечной точки допустимый URI HTTPS. Это гарантирует, что протокол HTTPS используется для шифрования передаваемых данных, а также часто является требованием соответствия нормативным или отраслевым стандартам. Посетите страницу: рекомендации по безопасности Bot Framework. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| Приложения-контейнеры должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Отключение allowInsecure приведет к автоматическому перенаправлению запросов из HTTP-подключений к HTTPS для приложений-контейнеров. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Enforce SSL-подключение должно быть включено для серверов баз данных MySQL | База данных Azure для MySQL поддерживает подключение сервера База данных Azure для MySQL к клиентским приложениям с помощью протокола SSL. Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Ревизия; Нетрудоспособный | 1.0.1 |
| Enforce SSL-подключение должно быть включено для серверов баз данных PostgreSQL | База данных Azure для PostgreSQL поддерживает подключение сервера База данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL. Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Ревизия; Нетрудоспособный | 1.0.1 |
| слоты приложений Function должны включать завершение шифрования | Включение сквозного шифрования обеспечивает шифрование внешнего трафика между интерфейсными App Service интерфейсами и рабочими нагрузками приложений, выполняющих рабочие нагрузки приложений. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Слоты приложения-функции должны быть доступны только по HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Ревизия; Нетрудоспособный; Отрицать | 2.1.0 |
| слоты приложений Function должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists; Нетрудоспособный | 1.3.0 |
| приложения Function должны включать завершение шифрования | Включение сквозного шифрования обеспечивает шифрование внешнего трафика между интерфейсными App Service интерфейсами и рабочими нагрузками приложений, выполняющих рабочие нагрузки приложений. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| приложения Function должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Ревизия; Нетрудоспособный; Отрицать | 5.1.0 |
| приложения Function должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists; Нетрудоспособный | 3.1.0 |
| приложения Function должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists; Нетрудоспособный | 2.3.0 |
| [предварительная версия]: сеть узлов и виртуальных машин должна быть защищена в системах HCI Azure Stack | Защита данных в Azure Stack HCI размещает сеть и подключения к сети виртуальной машины. | Ревизия; Нетрудоспособный; AuditIfNotExists | 1.0.0-preview |
| кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в статье Understand Политика Azure для кластеров Kubernetes | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 8.2.0 |
| Only безопасные подключения к Кэш Azure для Redis должны быть включены | Аудит включения только подключений через SSL к Кэш Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| гибкие серверы PostgreSQL должны работать под управлением TLS версии 1.2 или более поздней | Эта политика помогает проверять все гибкие серверы PostgreSQL в вашей среде, которая работает с версией TLS меньше 1.2. | AuditIfNotExists; Нетрудоспособный | 1.1.0 |
| Secure transfer to storage accounts должен быть включен | Требование аудита безопасной передачи в учетной записи storage. Безопасная передача — это параметр, который заставляет учетную запись storage принимать запросы только из безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| Управляемый экземпляр SQL должна иметь минимальную версию TLS 1.2 | Установка минимальной версии TLS до версии 1.2 повышает безопасность, обеспечивая доступ к Управляемый экземпляр SQL только от клиентов с помощью TLS 1.2. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Ревизия; Нетрудоспособный | 1.0.1 |
| учетные записи Storage должны иметь указанную минимальную версию TLS | Настройте минимальную версию TLS для безопасного взаимодействия между клиентским приложением и учетной записью storage. Чтобы свести к минимуму риск безопасности, в качестве минимальной версии TLS рекомендуется использовать последнюю выпущенную версию (в настоящее время это TLS 1.2). | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Windows компьютеры должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists; Нетрудоспособный | 4.1.1 |
DP-4. Включение шифрования неактивных данных по умолчанию
Дополнительные сведения см. в статье Data Protection: DP-4: включение шифрования неактивных данных по умолчанию.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Администратор Microsoft Entra A должен быть подготовлен для серверов MySQL | Аудит подготовки администратора Microsoft Entra для сервера MySQL, чтобы включить проверку подлинности Microsoft Entra. Microsoft Entra аутентификация позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт | AuditIfNotExists; Нетрудоспособный | 1.1.1 |
| переменные учетной записи Automation должны быть зашифрованы | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| задания Azure Data Box должны включить двойное шифрование для неактивных данных на устройстве | Включите второй уровень шифрования на основе программного обеспечения для неактивных данных на устройстве. Устройство уже защищено с помощью расширенного шифрования уровня "Стандартный" 256-разрядного шифрования для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Azure устройства Центра оборудования Edge должны иметь поддержку двойного шифрования | Убедитесь, что устройства, упорядоченные из Azure Edge Hardware Center, поддерживают двойное шифрование, чтобы защитить неактивных данных на устройстве. Этот параметр добавляет второй уровень шифрования данных. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| кластеры Azure HDInsight должны использовать шифрование на узле для шифрования неактивных данных | Включение шифрования на узле помогает защитить и защитить данные в соответствии с вашими обязательствами по обеспечению безопасности и соответствия организации. При включении шифрования на узле данные, хранящиеся на узле виртуальной машины, шифруются неактивных данных и шифруются в службу Storage. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| кластеры Azure Monitor журналы должны создаваться с поддержкой шифрования инфраструктуры (двойное шифрование) | Чтобы обеспечить безопасное шифрование данных на уровне обслуживания и на уровне инфраструктуры с двумя разными алгоритмами шифрования и двумя разными ключами, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если он поддерживается в регионе, см. раздел Azure Monitor управляемые клиентом ключи. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| Azure гибкий сервер MySQL должен иметь Microsoft Entra включена только проверка подлинности | Отключение локальных методов проверки подлинности и разрешение только Microsoft Entra аутентификации повышает безопасность, гарантируя Azure, что гибкий сервер MySQL может быть доступен исключительно Microsoft Entra удостоверениями. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| Azure NetApp Files тома SMB следует использовать шифрование SMB3 | Запретить создание томов SMB без шифрования SMB3, чтобы обеспечить целостность данных и конфиденциальность данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Azure NetApp Files Тома типа NFSv4.1 следует использовать шифрование данных Kerberos | Разрешить использование режима безопасности Kerberos (5p) только для шифрования данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| устройства Azure Stack Edge должны использовать двойное шифрование | Чтобы защитить неактивные данные на устройстве, убедитесь, что он дважды зашифрован, access к данным контролируется, и после деактивации устройства данные безопасно удаляются с дисков данных. Двойное шифрование — это использование двух уровней шифрования: BitLocker XTS-AES 256-разрядное шифрование томов данных и встроенное шифрование жестких дисков. Дополнительные сведения см. в документации по безопасности для конкретного устройства Stack Edge. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| Azure Synapse Analytics выделенные пулы SQL должны включать шифрование | Включите прозрачное шифрование данных для Azure Synapse Analytics выделенных пулов SQL для защиты неактивных данных и соответствия требованиям. Обратите внимание, что включение прозрачного шифрования данных для пула может повлиять на производительность запросов. Дополнительные сведения могут ссылаться на https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Учетные записи Cognitive Services должны использовать хранилище, принадлежащее клиенту | Контролируйте неактивные данные, хранящиеся в Cognitive Services, с помощью хранилища, принадлежащего клиенту. Дополнительные сведения о хранилище, принадлежащем клиенту, см. по адресу https://aka.ms/cogsvc-cmk. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| шифрование Disk должно быть включено в Azure Data Explorer | Включение шифрования дисков помогает защитить и защитить данные в соответствии с вашими обязательствами по безопасности и соответствию требованиям организации. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| шифрование Double должно быть включено в Azure Data Explorer | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. При включении двойного шифрования данные в учетной записи storage шифруются дважды, один раз на уровне службы и один раз на уровне инфраструктуры, используя два разных алгоритма шифрования и два разных ключа. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| пространства имен Event Hub должны иметь двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. При включении двойного шифрования данные в учетной записи storage шифруются дважды, один раз на уровне службы и один раз на уровне инфраструктуры, используя два разных алгоритма шифрования и два разных ключа. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| шифрование Infrastructure должно быть включено для серверов База данных Azure для MySQL | Включите шифрование инфраструктуры для серверов База данных Azure для MySQL, чтобы обеспечить более высокий уровень уверенности в том, что данные защищены. Если шифрование инфраструктуры включено, данные неактивных данных шифруются дважды с помощью ключей, совместимых с FIPS 140-2, Microsoft управляемых ключей. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| шифрование Infrastructure должно быть включено для серверов База данных Azure для PostgreSQL | Включите шифрование инфраструктуры для серверов База данных Azure для PostgreSQL, чтобы обеспечить более высокий уровень уверенности в том, что данные защищены. Если шифрование инфраструктуры включено, данные неактивных данных шифруются дважды с помощью ключей, совместимых с FIPS 140-2, Microsoft управляемых ключей. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; диски ресурсов (временные диски), кэши данных и поток данных между вычислительными и Storage ресурсами не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Обзор вариантов шифрования управляемых дисков для сравнения предложений шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Дополнительные сведения см. в |
AuditIfNotExists; Нетрудоспособный | 1.2.1 |
| Managed disks должен быть двойным шифрованием с помощью ключей, управляемых платформой и управляемыми клиентом | Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Дополнительные сведения см. в разделе Server-стороне шифрования управляемых дисков Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| служебная шина пространства имен должны иметь двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. При включении двойного шифрования данные в учетной записи storage шифруются дважды, один раз на уровне службы и один раз на уровне инфраструктуры, используя два разных алгоритма шифрования и два разных ключа. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| кластеры Service Fabric должны иметь свойство ClusterProtectionLevel | Служба Fabric предоставляет три уровня защиты (None, Sign and EncryptAndSign) для обмена данными между узлами с помощью первичного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Storage учетные записи должны иметь шифрование инфраструктуры | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи storage шифруются дважды. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Temp-диски и кэш для пулов узлов агента в кластерах Служба Azure Kubernetes должны быть зашифрованы на узле | Чтобы повысить безопасность данных, данные, хранящиеся на узле виртуальных машин Служба Azure Kubernetes узлов, должны быть зашифрованы неактивных данных. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| прозрачное шифрование данных необходимо включить для управляемых экземпляров Arc SQL. | Включите прозрачное шифрование данных (TDE) в неактивных Azure Arc Управляемый экземпляр SQL. Дополнительные сведения см. в Encrypt для базы данных с прозрачным шифрованием данных вручную в Управляемый экземпляр SQL, включенной Azure Arc. | Ревизия; Нетрудоспособный | 1.0.0 |
| прозрачное шифрование данных в базах данных SQL следует включить | Transparent data encryption следует включить для защиты неактивных данных и соответствия требованиям | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| Virtual machines и virtual machine scale sets должны иметь шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше о включении сквозного шифрования с помощью шифрования на узле. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Windows виртуальные машины должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; диски ресурсов (временные диски), кэши данных и поток данных между вычислительными и Storage ресурсами не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Обзор вариантов шифрования управляемых дисков для сравнения предложений шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Дополнительные сведения см. в |
AuditIfNotExists; Нетрудоспособный | 1.1.1 |
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Дополнительные сведения см. в статье Data Protection: DP-5. При необходимости используйте параметр ключа, управляемый клиентом, в неактивных данных шифрования.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Служба "Конфигурация приложений" должна использовать управляемый клиентом ключ | Управляемые клиентом ключи обеспечивают расширенную защиту данных, позволяя управлять ключами шифрования. Это часто требуется для соответствия требованиям. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Службы Azure AI должны использовать ключи, управляемые клиентом, для шифрования данных в состоянии покоя | Включение шифрования данных на диске с использованием ключа, управляемого клиентом, в службах ИИ Azure предоставляет дополнительный контроль над ключом, используемым для шифрования. Эта функция часто применяется для клиентов, которым нужно соблюдать нормативные требования, чтобы управлять ключами шифрования данных с помощью хранилища ключей. | AuditIfNotExists; Нетрудоспособный | 2.1.0 |
| Azure ресурсы служб ИИ должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) | Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. | Ревизия; Отрицать; Нетрудоспособный | 2.2.0 |
| Azure API для FHIR должен использовать управляемый клиентом ключ для шифрования неактивных данных | Используйте ключ, управляемый клиентом, для управления шифрованием неактивных данных, хранящихся в AZURE API для FHIR, если это нормативный или нормативный требования. Ключи, управляемые клиентом, также обеспечивают двойное шифрование, добавив второй уровень шифрования по умолчанию, выполненный с помощью ключей, управляемых службой. | ревизия; Ревизия; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| учетные записи Cлужба автоматизации Azure должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных учетных записей Cлужба автоматизации Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в разделе Encryption безопасных ресурсов в Cлужба автоматизации Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| учетная запись пакетная служба Azure должна использовать ключи, управляемые клиентом, для шифрования данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных учетной записи пакетной службы. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в разделе "Шифрование данных учетной записи пакетной службы". | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Кэш Azure для Redis Enterprise должен использовать ключи, управляемые клиентом, для шифрования данных диска | Используйте ключи, управляемые клиентом (CMK), чтобы управлять шифрованием неактивных данных на диске. По умолчанию данные клиента шифруются с помощью ключей, управляемых платформой (PMK), но ключи, управляемые клиентом, обычно требуются для соответствия нормативным стандартам. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в разделе Настройка шифрования дисков в Кэш Azure для Redis. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| группа контейнеров Azure экземпляра контейнеров должна использовать управляемый клиентом ключ для шифрования | Защитите контейнеры с большей гибкостью с помощью ключей, управляемых клиентом. При указании ключа, управляемого клиентом, этот ключ используется для защиты и управления access к ключу, который шифрует данные. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Ревизия; Нетрудоспособный; Отрицать | 1.0.0 |
| учетные записи Azure Cosmos DB должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в < |
ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| Azure Data Box задания должны использовать управляемый клиентом ключ для шифрования пароля разблокировки устройства | Используйте управляемый клиентом ключ для управления шифрованием пароля разблокировки устройства для Azure Data Box. Управляемые клиентом ключи также помогают управлять access паролем разблокировки устройства службой Data Box, чтобы подготовить устройство и копировать данные автоматически. Данные на самом устройстве уже зашифрованы с помощью расширенного шифрования уровня "Стандартный 256-разрядный", а пароль разблокировки устройства шифруется по умолчанию с помощью управляемого ключа Microsoft. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Azure Data Explorer шифрование должно использовать ключ, управляемый клиентом | Включение шифрования неактивных данных с помощью ключа, управляемого клиентом, в кластере Azure Data Explorer обеспечивает дополнительный контроль над ключом, используемым неактивным шифрованием. Эта функция часто применяется к клиентам с особыми требованиями к соответствию требованиям и требует Key Vault для управления ключами. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Azure фабрики данных должны быть зашифрованы с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных Фабрика данных Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в Encrypt Фабрика данных Azure с помощью ключа, управляемого клиентом. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Azure Databricks рабочие области должны быть SKU класса Premium, поддерживающие такие функции, как приватный канал, управляемый клиентом ключ для шифрования | Разрешить рабочую область Databricks с Sku premium, которую ваша организация может развернуть для поддержки таких функций, как Приватный канал, управляемый клиентом ключ для шифрования. Дополнительные сведения: Настройка внутреннего подключения к Azure Databricks. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Azure учетные записи обновления устройств должны использовать управляемый клиентом ключ для шифрования неактивных данных | Шифрование неактивных данных в Azure обновлении устройств с помощью ключа, управляемого клиентом, добавляет второй уровень шифрования поверх ключей, управляемых службой, позволяет управлять ключами, настраиваемыми политиками поворота и управлять доступом к данным с помощью управления доступом к ключам. Дополнительные сведения см. в разделе < |
Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| кластеры Azure HDInsight должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных кластеров Azure HDInsight. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения о двойном шифровании неактивных данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Azure Боты работоспособности должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом (CMK), чтобы управлять шифрованием неактивных данных ваших ботов работоспособности. По умолчанию данные шифруются неактивных с помощью ключей, управляемых службой, но CMK обычно требуются для соответствия нормативным стандартам. CMK позволяет шифровать данные с помощью ключа Azure Key Vault, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в разделе Настройка управляемых клиентом ключей для шифрования данных в службе агента здравоохранения | Ревизия; Нетрудоспособный | 1.0.0 |
| Azure ресурс нагрузочного тестирования должен использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом (CMK), чтобы управлять шифрованием неактивных данных для ресурса Нагрузочное тестирование Azure. По умолчанию шифрование выполняется с помощью управляемых службом ключей, управляемые клиентом ключи позволяют шифровать данные с помощью ключа Azure Key Vault, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в Настройка ключей, управляемых клиентом, для Нагрузочное тестирование Azure с помощью Azure Key Vault. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом | Управление шифрованием неактивных данных рабочей области Машинное обучение Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в разделе Create рабочей области с шаблоном Azure Resource Manager. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Машинное обучение Azure рабочие области должны быть зашифрованы с использованием управляемого клиентом ключа | Управление шифрованием неактивных данных рабочей области Машинное обучение Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в разделе Create рабочей области с шаблоном Azure Resource Manager. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| кластеры Azure Monitor Журналы должны быть зашифрованы с помощью ключа, управляемого клиентом | Создайте кластер Azure Monitor журналов с шифрованием ключей, управляемых клиентом. По умолчанию данные журналов шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемый клиентом ключ в Azure Monitor обеспечивает больше контроля над доступом к данным, см. раздел Configure, управляемые клиентом, в Azure Monitor. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| [Предварительная версия]. Хранилища Служб восстановления Azure должны использовать управляемые клиентом ключи для шифрования данных резервных копий. | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных резервных копий. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/AB-CmkEncryption. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0-preview |
| [предварительная версия]: системы HCI Azure Stack должны иметь зашифрованные тома | Используйте BitLocker для шифрования томов ОС и данных в Azure Stack системах HCI. | Ревизия; Нетрудоспособный; AuditIfNotExists | 1.0.0-preview |
| задания Azure Stream Analytics должны использовать ключи, управляемые клиентом, для шифрования данных | Используйте ключи, управляемые клиентом, если вы хотите безопасно хранить все метаданные и частные ресурсы данных заданий Stream Analytics в вашей учетной записи storage. Это дает общий контроль над шифрованием данных Stream Analytics. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| Azure Synapse рабочие области должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных, хранящихся в Azure Synapse рабочих областях. Ключи, управляемые клиентом, обеспечивают двойное шифрование, добавив второй уровень шифрования поверх шифрования по умолчанию с помощью ключей, управляемых службой. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Служба Bot должен быть зашифрован с помощью ключа, управляемого клиентом | Azure Служба Bot автоматически шифрует ресурс для защиты данных и выполнения обязательств по обеспечению безопасности организации и соответствия требованиям. По умолчанию используются ключи шифрования, управляемые Microsoft. Для повышения гибкости при управлении ключами или контролем access в подписке выберите ключи, управляемые клиентом, также известные как собственный ключ (BYOK). Дополнительные сведения о шифровании Azure Служба Bot: шифрование Служба ботов ИИ Azure для неактивных данных. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| Both операционные системы и диски данных в кластерах Служба Azure Kubernetes должны быть зашифрованы ключами, управляемыми клиентом | Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| реестры Container должны быть зашифрованы с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в Customer-Managed ключи для Реестр контейнеров Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.1.2 |
| шифрование управляемых ключей Customer необходимо использовать в рамках шифрования CMK для управляемых экземпляров ARC. | В рамках шифрования CMK необходимо использовать шифрование ключей, управляемое клиентом. Дополнительные сведения см. в Encrypt для базы данных с прозрачным шифрованием данных вручную в Управляемый экземпляр SQL, включенной Azure Arc. | Ревизия; Нетрудоспособный | 1.0.0 |
| служба DICOM должна использовать управляемый клиентом ключ для шифрования неактивных данных | Используйте ключ, управляемый клиентом, для управления шифрованием неактивных данных, хранящихся в службе DICOM Службы Azure для работы с медицинскими данными, если это нормативные требования или требования соответствия. Ключи, управляемые клиентом, также обеспечивают двойное шифрование, добавив второй уровень шифрования по умолчанию, выполненный с помощью ключей, управляемых службой. | Ревизия; Нетрудоспособный | 1.0.0 |
| Группа томовElasticSan должна использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных VolumeGroup. По умолчанию данные клиента шифруются с помощью ключей, управляемых платформой, но пакеты УПРАВЛЕНИЯ обычно требуются для соответствия нормативным стандартам. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам, с полным контролем и ответственностью, включая смену и управление. | Ревизия; Нетрудоспособный | 1.0.0 |
| пространство имен Event Hub должно использовать управляемый клиентом ключ для шифрования | Центры событий Azure поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых Microsoft (по умолчанию) или управляемых клиентом ключей. Выбор шифрования данных с помощью ключей, управляемых клиентом, позволяет назначать, изменять, отключать и отзывать access ключам, которые концентратор событий будет использовать для шифрования данных в пространстве имен. Обратите внимание, что концентратор событий поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен в выделенных кластерах. | Ревизия; Нетрудоспособный | 1.0.0 |
| FHIR Service должен использовать управляемый клиентом ключ для шифрования неактивных данных | Используйте ключ, управляемый клиентом, для управления шифрованием неактивных данных, хранящихся в службе FHIR Службы Azure для работы с медицинскими данными, если это требование к нормативным или нормативным требованиям. Ключи, управляемые клиентом, также обеспечивают двойное шифрование, добавив второй уровень шифрования по умолчанию, выполненный с помощью ключей, управляемых службой. | Ревизия; Нетрудоспособный | 1.0.0 |
| Fluid Relay должен использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных серверов Ретранслятора жидкости. По умолчанию данные клиента шифруются с помощью ключей, управляемых службой, но пакеты УПРАВЛЕНИЯ обычно требуются для соответствия нормативным стандартам. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам, с полным контролем и ответственностью, включая смену и управление. Дополнительные сведения см. в управляемые ключами Azure Fluid Relay шифрования. | Ревизия; Нетрудоспособный | 1.0.0 |
| учетные записи HPC Cache должны использовать управляемый клиентом ключ для шифрования | Управление шифрованием неактивных Azure HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Ревизия; Нетрудоспособный; Отрицать | 2.0.0 |
| [Предварительная версия]. Данные Службы подготовки устройств к добавлению в Центр Интернета вещей должны быть зашифрованы ключами под управлением клиента | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных службы подготовки устройств Центр Интернета вещей. Данные автоматически шифруются с помощью ключей, управляемых службой, но ключи, управляемые клиентом (CMK), обычно требуются для соответствия нормативным стандартам. Пакеты УПРАВЛЕНИЯ позволяют шифровать данные с помощью ключа Azure Key Vault, созданного и принадлежащих вам. См. дополнительные сведения о шифровании CMK: https://aka.ms/dps/CMK. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0-preview |
| Logic Apps Integration Service Environment должен быть зашифрован с помощью ключей, управляемых клиентом | Развертывание в среде службы интеграции для управления шифрованием неактивных данных Logic Apps с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Managed disks должен быть двойным шифрованием с помощью ключей, управляемых платформой и управляемыми клиентом | Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Дополнительные сведения см. в разделе Server-стороне шифрования управляемых дисков Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Managed disks должен использовать определенный набор наборов шифрования дисков для шифрования ключей, управляемых клиентом | Требование использования определенного набора наборов шифрования дисков с managed disks дает вам контроль над ключами, используемыми для шифрования неактивных данных. Вы можете выбрать разрешенные наборы шифрования, а все прочие при подключении к диску будут отклоняться. Дополнительные сведения см. в разделе Server-стороне шифрования управляемых дисков Azure. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists; Нетрудоспособный | 1.0.4 |
| OS и диски данных должны быть зашифрованы с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных содержимого managed disks. По умолчанию неактивные данные шифруются с помощью ключей, управляемых платформой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения см. в разделе Server-стороне шифрования управляемых дисков Azure. | Ревизия; Отрицать; Нетрудоспособный | 3.0.0 |
| гибкие серверы PostgreSQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте управляемые клиентом ключи для управления шифрованием неактивных гибких серверов PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| PostgreSQL-серверы должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists; Нетрудоспособный | 1.0.4 |
| Queue Storage должен использовать управляемый клиентом ключ для шифрования | Защитите очередь storage с большей гибкостью с помощью ключей, управляемых клиентом. При указании ключа, управляемого клиентом, этот ключ используется для защиты и управления access к ключу, который шифрует данные. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| пространства имен служебная шина Premium должны использовать управляемый клиентом ключ для шифрования | Служебная шина Azure поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых Microsoft (по умолчанию) или управляемых клиентом ключей. Выбор шифрования данных с помощью ключей, управляемых клиентом, позволяет назначать, поворачивать, отключать и отменять доступ к ключам, которые служебная шина будут использоваться для шифрования данных в пространстве имен. Обратите внимание, что служебная шина поддерживает шифрование только с помощью ключей, управляемых клиентом, для пространств имен класса Premium. | Ревизия; Нетрудоспособный | 1.0.0 |
| управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачное шифрование данных (TDE) с собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, повышение безопасности с помощью внешней службы, поддерживаемой HSM, и повышение разделения обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| серверы SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачное шифрование данных (TDE) с собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, повышение безопасности с помощью внешней службы, поддерживаемой HSM, и повышение разделения обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Ревизия; Отрицать; Нетрудоспособный | 2.0.1 |
| Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании данных в состоянии покоя в служба хранилища Azure можно найти на странице https://aka.ms/azurestoragebyok. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Storage области шифрования учетных записей должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных областей шифрования учетных записей storage. Управляемые клиентом ключи позволяют шифровать данные с помощью ключа Azure key-vault, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше о областях шифрования учетных записей storage Encryption для Blob storage. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Storage области шифрования учетных записей должны использовать двойное шифрование для неактивных данных | Включите шифрование инфраструктуры для шифрования неактивных областей шифрования учетных записей storage для дополнительной безопасности. Если включено шифрование инфраструктуры, данные шифруются дважды. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| учетные записи Storage должны использовать управляемый клиентом ключ для шифрования | Защита учетной записи больших двоичных объектов и файлов storage с большей гибкостью с помощью ключей, управляемых клиентом. При указании ключа, управляемого клиентом, этот ключ используется для защиты и управления access к ключу, который шифрует данные. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Ревизия; Нетрудоспособный | 1.0.3 |
| Table Storage должен использовать управляемый клиентом ключ для шифрования | Защитите таблицу storage с большей гибкостью с помощью ключей, управляемых клиентом. При указании ключа, управляемого клиентом, этот ключ используется для защиты и управления access к ключу, который шифрует данные. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
DP-6. Использование процесса безопасного управления ключами
Дополнительные сведения см. в статье Data Protection: DP-6. Использование процесса управления безопасными ключами.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| API Management— значения именованных значений должны храниться в Azure Key Vault | Именованные значения — это коллекция пар имен и значений в каждой службе API Management. Значения секретов можно хранить как зашифрованный текст в службе управления API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Чтобы повысить безопасность управления API и секретов, ссылаться на именованные значения секретов из Azure Key Vault. Azure Key Vault поддерживает детализированное управление доступом и политики смены секретов. | Ревизия; Нетрудоспособный; Отрицать | 1.0.2 |
| Azure Cosmos DB учетные записи не должны превышать максимальное количество дней, разрешенных с момента последнего восстановления ключа учетной записи. | Повторно создайте ключи за указанное время, чтобы обеспечить защиту данных. | Ревизия; Нетрудоспособный | 1.0.0 |
| Фабрика данных Azure связанные службы должны использовать Key Vault для хранения секретов | Чтобы обеспечить безопасное управление секретами (например, строками подключения), пользователям требуется предоставить секреты с помощью Azure Key Vault вместо указания их встроенных в связанных службах. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| [Предварительная версия]: Azure Key Vault управляемые ключи HSM должны иметь дату окончания срока действия | Чтобы использовать эту политику в предварительной версии, сначала выполните указанные ниже инструкции https://aka.ms/mhsmgovernance. Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1-preview |
| [предварительная версия]: Azure Key Vault управляемые ключи HSM должны иметь больше указанного количества дней до истечения срока действия | Чтобы использовать эту политику в предварительной версии, сначала выполните указанные ниже инструкции https://aka.ms/mhsmgovernance. Если ключ слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Ключи необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1-preview |
| [предварительная версия]: Azure Key Vault управляемые ключи HSM с помощью криптографии с многоточием кривых должны иметь указанные имена кривых | Чтобы использовать эту политику в предварительной версии, сначала выполните указанные ниже инструкции https://aka.ms/mhsmgovernance. Для ключей, защищенных шифрованием на основе эллиптических кривых, могут использоваться различные эллиптические кривые. Некоторые приложения совместимы только с ключами для определенной эллиптической кривой. Принудительно применяйте типы ключей с поддержкой эллиптических кривых, которые разрешено создавать в вашей среде. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1-preview |
| [Предварительная версия]: Azure Key Vault управляемые ключи HSM с помощью шифрования RSA должны иметь указанный минимальный размер ключа | Чтобы использовать эту политику в предварительной версии, сначала выполните указанные ниже инструкции https://aka.ms/mhsmgovernance. Задайте минимально допустимый размер ключа, который может использоваться с вашими хранилищами ключей. Использование ключей RSA небольшого размера небезопасно и не соответствует многим отраслевым требованиям к сертификации. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1-preview |
| В Azure Key Vault управляемая служба защиты ключей HSM должна иметь включенную защиту от очистки | Удаление управляемого модуля HSM для Azure Key Vault злоумышленником может привести к необратимой потере данных. Потенциальный злоумышленник в вашей организации может удалить и очистить управляемый модуль HSM для Azure Key Vault. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для управляемого модуля HSM для Azure Key Vault, который был обратимо удален. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить управляемый модуль HSM для Azure Key Vault во время периода хранения при обратимом удалении. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Azure кластеры Kubernetes должны включить службу управления ключами (KMS) | Используйте служба управления ключами (KMS) для шифрования неактивных данных секретов в etcd для безопасности кластера Kubernetes. Узнать больше по адресу: https://aka.ms/aks/kmsetcdencryption. | Ревизия; Нетрудоспособный | 1.1.0 |
| ключи Key Vault должны иметь дату окончания срока действия | Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Ревизия; Отрицать; Нетрудоспособный | 1.0.2 |
| Key Vault секреты должны иметь дату окончания срока действия | Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. | Ревизия; Отрицать; Нетрудоспособный | 1.0.2 |
| Ключи должны поддерживаться аппаратным модулем безопасности (HSM) | Аппаратный модуль безопасности (HSM) используется для хранения ключей. HSM обеспечивает физический уровень защиты для криптографических ключей. Криптографический ключ не может покинуть физическое устройство HSM, что обеспечивает более высокий уровень безопасности, чем при использовании программного ключа. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Ключи должны иметь указанный тип шифрования RSA или EC | Некоторые приложения требуют использовать ключи, поддерживаемых определенным типом шифрования. Принудительно используйте в своей среде определенный тип криптографического ключа (RSA или EC). | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Keys должна иметь политику поворота, гарантирующую, что их смена запланирована в течение указанного числа дней после создания. | Управление требованиями к соответствию организации путем указания максимального числа дней после создания ключа до его смены. | Ревизия; Нетрудоспособный | 1.0.0 |
| Ключи должны иметь больше указанного числа дней до истечения срока действия | Если ключ слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Ключи необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Keys должен иметь указанный максимальный срок действия | Управление требованиями к соответствию организации путем указания максимального количества времени в днях, когда ключ может быть допустимым в key vault. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Keys не должны быть активными дольше указанного числа дней | Укажите число дней, в течение которых должен быть активен ключ. При использовании ключей в течение продолжительного времени увеличивается вероятность их компрометации злоумышленником. В целях безопасности рекомендуется следить за тем, чтобы ключи не были активны дольше двух лет. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| У ключей, использующих шифрование на основе эллиптических кривых, должны быть указаны имена кривых | Для ключей, защищенных шифрованием на основе эллиптических кривых, могут использоваться различные эллиптические кривые. Некоторые приложения совместимы только с ключами для определенной эллиптической кривой. Принудительно применяйте типы ключей с поддержкой эллиптических кривых, которые разрешено создавать в вашей среде. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Для ключей, использующих шифрование RSA, должен быть указан минимальный размер ключа | Задайте минимально допустимый размер ключа, который может использоваться с вашими хранилищами ключей. Использование ключей RSA небольшого размера небезопасно и не соответствует многим отраслевым требованиям к сертификации. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Секреты должны иметь больше указанного числа дней до истечения срока действия | Если секрет слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Секреты необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Secrets должен иметь указанный максимальный срок действия | Управление требованиями к соответствию организации путем указания максимального количества времени в днях, когда секрет может быть допустимым в key vault. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Секреты не должны быть активными дольше указанного числа дней | Если при создании секретов была задана дата активации в будущем, необходимо убедиться, что секреты не были активны дольше указанного времени. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| ключи учетной записи Storage не должны истекать | Убедитесь, что ключи учетной записи пользователя storage не истекают при установке политики истечения срока действия ключа, чтобы повысить безопасность ключей учетных записей, выполнив действия при истечении срока действия ключей. | Ревизия; Отрицать; Нетрудоспособный | 3.0.0 |
DP-7. Использование процесса управления безопасными сертификатами
Дополнительные сведения см. в статье Data Protection: DP-7: использование процесса управления безопасными сертификатами.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Сертификаты должны быть выданы указанным интегрированным центром сертификации | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав интегрированные с Azure центры сертификации (например, например Digicert или GlobalSign), которые могут выдавать сертификаты в вашем хранилище ключей. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| Сертификаты должны быть выданы указанным неинтегрированным центром сертификации | Управление требованиями к соответствию организации путем указания одного пользовательского или внутреннего центра сертификации, которые могут выдавать сертификаты в хранилище ключей. | Ревизия; Отрицать; Нетрудоспособный | 2.1.1 |
| Для сертификатов необходимо настроить указанные триггеры действия для времени существования | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав, активируется ли действие времени существования сертификата при достижении определенного процента времени существования или через определенное число дней до истечения срока действия. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| Certificates должен иметь указанный максимальный срок действия | Управляйте требованиями к соответствию организации, указывая максимальное время, которое сертификат может быть допустимым в key vault. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 2.2.1 |
| Certificates должен иметь указанный максимальный срок действия | Управляйте требованиями к соответствию организации, указывая максимальное время, которое сертификат может быть допустимым в key vault. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 2.2.1 |
| Certificates не должно истекать в течение указанного количества дней | Вы можете управлять сертификатами, срок действия которых истечет через указанное число дней, чтобы у организации было достаточно времени на замену таких сертификатов. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 2.1.1 |
| Сертификаты должны использовать разрешенные типы ключей | Вы можете управлять требованиями к обеспечению соответствия для своей организации, ограничивая разрешенные для сертификатов типы ключей. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| У сертификатов, использующих шифрование на основе эллиптических кривых, должны быть разрешенные имена кривых | Вы можете управлять разрешенными именами эллиптических кривых для сертификатов ECC, хранящихся в хранилище ключей. Дополнительные сведения см. здесь: https://aka.ms/akvpolicy. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| Для сертификатов, использующих шифрование RSA, должен быть указан минимальный размер ключа | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав минимальный размер ключа для сертификатов RSA, хранящихся в хранилище ключей. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
DP-8. Обеспечение безопасности репозитория ключей и сертификатов
Дополнительные сведения см. в статье Data Protection: DP-8: обеспечение безопасности репозитория ключей и сертификатов.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Azure Defender для Key Vault следует включить | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты и аналитики безопасности путем обнаружения необычных и потенциально опасных попыток доступа к учетным записям key vault. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Key Vault должен иметь брандмауэр или отключен доступ к общедоступной сети | Включите брандмауэр key vault, чтобы key vault по умолчанию недоступен для общедоступных IP-адресов или отключите access общедоступной сети для key vault, чтобы он не был доступен через общедоступный Интернет. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить access этих сетей. Дополнительные сведения: Network security for Azure Key Vault и Integrate Key Vault with Приватный канал Azure | Ревизия; Отрицать; Нетрудоспособный | 3.3.0 |
| Azure Хранилища ключей должны использовать приватный канал | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с key vault, можно снизить риски утечки данных. Дополнительные сведения о частных ссылках см. в статьях Integrate Key Vault с помощью Приватный канал Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.2.1 |
| Key vaults должны иметь защиту от удаления | Вредоносное удаление key vault может привести к постоянной потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Никто из вашей организации или Microsoft не сможет очистить хранилища ключей в течение периода хранения обратимого удаления. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| Key vaults должны иметь обратимое удаление | Удаление key vault без обратимого удаления окончательно удаляет все секреты, ключи и сертификаты, хранящиеся в key vault. Случайное удаление key vault может привести к постоянной потере данных. Обратимое удаление позволяет восстановить случайно удаленный key vault для настраиваемого периода хранения. | Ревизия; Отрицать; Нетрудоспособный | 3.1.0 |
| журналы Resource в Key Vault должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.0.0 |
| Для секретов должен быть задан тип содержимого | Тег типа содержимого помогает определить, является ли секрет паролем, строкой подключения и т. д. У разных секретов есть различные требования к смене секретов. Для секретов должен быть задан тег типа содержимого. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
DS-6. Защита жизненного цикла рабочей нагрузки
Дополнительные сведения см. в статье DevOps Security: DS-6. Защита жизненного цикла рабочей нагрузки.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| образы контейнеров реестра Azure должны иметь уязвимости, разрешенные (на Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить безопасность, обеспечивая безопасность образов для использования до развертывания. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| Azure для запуска образов контейнеров должны быть устранены уязвимости (на Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация позволяет увидеть уязвимые образы, на данный момент работающие в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, работающих в настоящее время, является ключом к улучшению состояния безопасности, значительно уменьшая surface атак для контейнерных рабочих нагрузок. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
ES-1. Использование обнаружения и ответа конечных точек (EDR)
Дополнительные сведения см. в статье "Безопасность конечных точек: ES-1: использование обнаружения и ответа конечных точек(EDR)".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Azure Defender для серверов следует включить | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| [предварительная версия]: развертывание агента Microsoft Defender для конечной точки на гибридных компьютерах Linux | Развертывание агента Microsoft Defender для конечной точки на гибридных компьютерах Linux | DeployIfNotExists; AuditIfNotExists; Отключен | 2.0.1-preview |
| [предварительная версия]: развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Linux | Развертывает агент Microsoft Defender для конечной точки на применимых образах виртуальных машин Linux. | DeployIfNotExists; AuditIfNotExists; Отключен | 3.0.0-preview |
| [предварительная версия]: развертывание агента Microsoft Defender для конечной точки на Windows Azure Arc компьютерах | Развертывает Microsoft Defender для конечной точки на Windows Azure Arc компьютерах. | DeployIfNotExists; AuditIfNotExists; Отключен | 2.0.1-preview |
| [предварительная версия]: развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Windows | Развертывает Microsoft Defender для конечной точки на применимых Windows образах виртуальных машин. | DeployIfNotExists; AuditIfNotExists; Отключен | 2.0.1-preview |
ES-2. Использование современного программного обеспечения для защиты от вредоносных программ
Дополнительные сведения см. в статье Endpoint Security: ES-2: использование современного программного обеспечения для защиты от вредоносных программ.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Microsoft Антивредоносная программа для Azure должна быть настроена для автоматического обновления подписей защиты | Эта политика выполняет аудит любой Windows виртуальной машины, не настроенной с автоматическим обновлением подписей защиты от вредоносных программ Microsoft. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft расширение IaaSAntimalware должно быть развернуто на Windows серверах | Эта политика проверяет любую виртуальную машину сервера Windows без Microsoft развернутого расширения IaaSAntimalware. | AuditIfNotExists; Нетрудоспособный | 1.1.0 |
| Windows Defender Exploit Guard следует включить на компьютерах | Windows Defender Exploit Guard использует агент гостевой конфигурации Политика Azure. Exploit Guard имеет четыре компонента, предназначенные для блокировки устройств с различными векторами атак и блокируют поведение, обычно используемое в атаках вредоносных программ, позволяя предприятиям сбалансировать свои требования к безопасности и производительности (Windows только). | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
IM-1. Использование централизованной системы идентификации и проверки подлинности
Дополнительные сведения см. в статье "Управление удостоверениями: IM-1: использование централизованной системы идентификации и проверки подлинности".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Администратор Microsoft Entra A должен быть подготовлен для серверов PostgreSQL | Аудит подготовки администратора Microsoft Entra для сервера PostgreSQL для включения проверки подлинности Microsoft Entra. Microsoft Entra аутентификация позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| Администратор Azure Active Directory должен быть подготовлен для серверов SQL | Аудит подготовки администратора Azure Active Directory для СЕРВЕРА SQL Server, чтобы включить проверку подлинности Azure AD. Azure аутентификация AD обеспечивает упрощенное управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| В приложениях Службы приложений должна быть включена проверка подлинности | Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к веб-приложению для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. | AuditIfNotExists; Нетрудоспособный | 2.0.1 |
| App Service приложения должны иметь локальные методы проверки подлинности, отключенные для развертываний FTP | Отключение локальных методов проверки подлинности для развертываний FTP повышает безопасность, гарантируя, что службы приложений требуют исключительно Microsoft Entra удостоверения для проверки подлинности. Дополнительные сведения: Disabling basic auth на App Service. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| App Service приложения должны иметь локальные методы проверки подлинности, отключенные для развертываний сайтов SCM | Отключение локальных методов проверки подлинности для сайтов SCM повышает безопасность, гарантируя, что службы приложений требуют исключительно Microsoft Entra удостоверения для проверки подлинности. Дополнительные сведения: Disabling basic auth на App Service. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| компоненты Application Insights должны блокировать не Azure Active Directory ingestion. | Принудительное прием журналов для требования проверки подлинности Azure Active Directory предотвращает проверку подлинности, не прошедшие проверку подлинности, от злоумышленника, что может привести к неправильному состоянию, ложным оповещениям и неправильным журналам, хранящимся в системе. | Отрицать; Ревизия; Нетрудоспособный | 1.0.0 |
| В службе Azure AI должны быть отключены локальные методы аутентификации | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что службы Azure AI Поиска требуют исключительно удостоверения Azure Active Directory для проверки подлинности. Узнать больше по адресу: https://aka.ms/azure-cognitive-search/rbac. Обратите внимание, что, хотя параметр отключения локальной проверки подлинности по-прежнему находится в предварительной версии, эффект запрета для этой политики может привести к ограничению функциональности портала поиска ИИ Azure, так как в некоторых функциях портала используется GA API, не поддерживающий этот параметр. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Azure ресурсы служб ИИ должны иметь доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить ключ access (локальная проверка подлинности). Azure OpenAI Studio, обычно используемой в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения Microsoft Entra ID становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. Дополнительные сведения: проверка подлинности в средствах Foundry | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Cлужба автоматизации Azure учетной записи должен быть отключен локальный метод проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Cлужба автоматизации Azure учетные записи требуют исключительно Azure Active Directory удостоверения для проверки подлинности. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Сетка событий Azure доменам должны быть отключены локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что домены Сетка событий Azure требуются исключительно Azure Active Directory удостоверения для проверки подлинности. Узнать больше по адресу: https://aka.ms/aeg-disablelocalauth. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Сетка событий Azure пространства имен партнеров должны иметь отключенные локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Сетка событий Azure пространства имен партнеров требуют исключительно Azure Active Directory удостоверения для проверки подлинности. Узнать больше по адресу: https://aka.ms/aeg-disablelocalauth. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Сетка событий Azure разделах должны быть отключены локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Сетка событий Azure разделы требуют исключительно Azure Active Directory удостоверений для проверки подлинности. Узнать больше по адресу: https://aka.ms/aeg-disablelocalauth. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Для работы пространств имен Концентратора событий Azure нужно отключить методы локальной проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что пространства имен Концентратора событий Azure требуют только удостоверения идентификаторов Microsoft Entra для проверки подлинности. Узнать больше по адресу: https://aka.ms/disablelocalauth-eh. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Кластеры Служба Azure Kubernetes должны включать интеграцию Microsoft Entra ID | Интеграция с управляемыми AKS Microsoft Entra ID может управлять доступом к кластерам, настроив управление доступом на основе ролей Kubernetes (Kubernetes RBAC) на основе удостоверения пользователя или членства в группе каталогов. Дополнительные сведения: Enable AKS, управляемая Microsoft Entra интеграции с кластером Служба Azure Kubernetes. | Ревизия; Нетрудоспособный | 1.0.2 |
| кластеры Служба Azure Kubernetes должны иметь отключенные локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Служба Azure Kubernetes кластеры должны требовать исключительно Azure Active Directory удостоверения для проверки подлинности. Узнать больше по адресу: https://aka.ms/aks-disable-local-accounts. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Машинное обучение Azure Вычисления должны иметь отключенные локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Машинное обучение вычислительные ресурсы требуют Azure Active Directory удостоверения исключительно для проверки подлинности. Дополнительные сведения: Политика Azure элементы управления соответствием нормативным требованиям для Машинное обучение Azure. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| [предварительная версия]: гибкий сервер Azure PostgreSQL должен иметь Microsoft Entra включена только проверка подлинности | Отключение методов локальной проверки подлинности и разрешение только Microsoft Entra аутентификации повышает безопасность, обеспечивая доступ к гибкому серверу Azure PostgreSQL исключительно с помощью удостоверений Microsoft Entra. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| пространства имен Служебная шина Azure должны иметь отключенные локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Служебная шина Azure пространства имен требуются исключительно Microsoft Entra ID удостоверения для проверки подлинности. Узнать больше по адресу: https://aka.ms/disablelocalauth-sb. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| База данных SQL Azure должна быть включена Microsoft Entra аутентификация | Требовать Azure SQL логических серверов для использования Microsoft Entra проверки подлинности только для Microsoft Entra. Эта политика не блокирует создание серверов с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Дополнительные сведения: Create Server с включенной проверкой подлинности Microsoft Entra. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| База данных SQL Azure должна быть включена Microsoft Entra проверка подлинности во время создания | Требовать создания логических серверов Azure SQL с помощью проверки подлинности только Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Дополнительные сведения: Create Server с включенной проверкой подлинности Microsoft Entra. | Ревизия; Отрицать; Нетрудоспособный | 1.2.0 |
| Управляемый экземпляр SQL Azure должна быть включена только Microsoft Entra проверка подлинности | Требовать Управляемый экземпляр SQL Azure использовать проверку подлинности только Microsoft Entra. Эта политика не блокирует создание управляемых экземпляров Azure SQL с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Дополнительные сведения: Create Server с включенной проверкой подлинности Microsoft Entra. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Azure SQL Управляемые экземпляры должны иметь возможность проверки подлинности только Microsoft Entra во время создания | Требовать создания Управляемый экземпляр SQL Azure с помощью проверки подлинности только Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Дополнительные сведения: Create Server с включенной проверкой подлинности Microsoft Entra. | Ревизия; Отрицать; Нетрудоспособный | 1.2.0 |
| Служба Azure Web PubSub должна иметь отключенные локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, обеспечивая, чтобы служба Azure Web PubSub исключительно требовала Azure Active Directory удостоверений для проверки подлинности. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Служба Bot должны отключать локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что бот использует AAD исключительно для проверки подлинности. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Реестры контейнеров должны иметь анонимную проверку подлинности. | Отключите анонимный запрос для реестра, чтобы данные не были доступны пользователем без проверки подлинности. Отключение локальных методов аутентификации, таких как учетная запись администратора, токены доступа в области репозитория и анонимное извлечение, повышает безопасность. Это гарантирует, что реестры контейнеров требуют исключительно учетных записей Azure Active Directory для аутентификации. Узнать больше по адресу: https://aka.ms/acr/authentication. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Реестры контейнеров должны отключать проверку подлинности маркера аудитории ARM. | Отключите маркеры аудитории Azure Active Directory ARM для проверки подлинности в реестре. Для проверки подлинности будут использоваться только токены целевой аудитории реестра контейнеров Azure (ACR). Это гарантирует, что для проверки подлинности можно использовать только маркеры, предназначенные для использования в реестре. Отключение аудиторных маркеров ARM не влияет на проверку подлинности пользователя-администратора или маркеров доступа с заданной областью. Узнать больше по адресу: https://aka.ms/acr/authentication. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| реестры Container должны иметь учетную запись локального администратора disabled. | Отключите учетную запись администратора для реестра, чтобы он не был доступен локальным администратором. Отключение локальных методов проверки подлинности, таких как пользователь администратора, маркеры доступа в области репозитория и анонимное извлечение, повышает безопасность, гарантируя, что реестры контейнеров требуют исключительно Azure Active Directory удостоверения для проверки подлинности. Дополнительные сведения см. в статье Реестр контейнеров Azure параметры проверки подлинности. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Реестры контейнеров должны отключать маркер доступа с областью действия репозитория. | Отключите репозиторские токены доступа для вашего реестра, чтобы репозитории не были доступны по токенам. Отключение локальных методов аутентификации, таких как учетная запись администратора, токены доступа в области репозитория и анонимное извлечение, повышает безопасность. Это гарантирует, что реестры контейнеров требуют исключительно учетных записей Azure Active Directory для аутентификации. Узнать больше по адресу: https://aka.ms/acr/authentication. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Учетные записи базы данныхCosmos DB должны иметь отключенные локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что учетные записи базы данных Cosmos DB требуют исключительно Azure Active Directory удостоверений для проверки подлинности. Дополнительные сведения: Connect to Azure Cosmos DB для NoSQL с помощью управления доступом на основе ролей и Microsoft Entra ID. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| В приложениях-функциях должна быть включена проверка подлинности | Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению-функции для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. | AuditIfNotExists; Нетрудоспособный | 3.1.0 |
| Рабочие области Log Analytics должны блокировать ингестацию, не основанную на Azure Active Directory. | Принудительное прием журналов для требования проверки подлинности Azure Active Directory предотвращает проверку подлинности, не прошедшие проверку подлинности, от злоумышленника, что может привести к неправильному состоянию, ложным оповещениям и неправильным журналам, хранящимся в системе. | Отрицать; Ревизия; Нетрудоспособный | 1.0.0 |
| кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит использования проверки подлинности клиента только через Azure Active Directory в службе Fabric | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| учетные записи |
Требование аудита Azure Active Directory (Azure AD) для авторизации запросов учетной записи хранения. По умолчанию запросы можно авторизовать с помощью учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации общего ключа. Из этих двух типов авторизации Azure AD обеспечивает более высокую безопасность и простоту использования общего ключа и рекомендуется Microsoft. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| Storage учетные записи должны препятствовать access общего ключа (за исключением учетных записей storage, созданных Databricks) | Требование аудита Azure Active Directory (Azure AD) для авторизации запросов учетной записи хранения. По умолчанию запросы можно авторизовать с помощью учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации общего ключа. Из этих двух типов авторизации Azure AD обеспечивает более высокую безопасность и простоту использования общего ключа и рекомендуется Microsoft. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Рабочая областьSynapse должна быть включена только для проверки подлинности Microsoft Entra | Требовать, чтобы рабочие области Synapse использовали проверку подлинности только Microsoft Entra. Эта политика не блокирует создание рабочих областей с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Дополнительные сведения: Azure Synapse Analytics. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Рабочие областиSynapse должны использовать только удостоверения Microsoft Entra для проверки подлинности во время создания рабочей области | Требовать создание рабочих областей Synapse с помощью проверки подлинности только Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Дополнительные сведения: Azure Synapse Analytics. | Ревизия; Отрицать; Нетрудоспособный | 1.2.0 |
| шлюзы VPN должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что VPN-шлюзы используют только Azure Active Directory удостоверения для проверки подлинности. Дополнительные сведения о проверке подлинности Azure AD см. в Настройка VPN-шлюза P2S для проверки подлинности Microsoft Entra ID | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
IM-2: защита систем идентификации и проверки подлинности
Дополнительные сведения см. в разделе "Управление удостоверениями: IM-2: защита систем идентификации и проверки подлинности".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Users должны пройти проверку подлинности с помощью многофакторной проверки подлинности для создания или обновления ресурсов | Это определение политики блокирует операции создания и обновления ресурсов, когда вызывающий объект не проходит проверку подлинности через MFA. Дополнительные сведения см. в Plan для обязательной многофактор Microsoft Entra ной проверки подлинности (MFA). | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
IM-3. Безопасное и автоматическое управление идентичностями приложений
Дополнительные сведения см. в статье "Управление удостоверениями: IM-3: безопасное и автоматическое управление удостоверениями приложений".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| [предварительная версия]: управляемое удостоверение должно быть включено на компьютерах | Ресурсы, управляемые automanage, должны иметь управляемое удостоверение. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| [Предварительная версия]: добавьте управляемое удостоверение, назначаемое пользователем, чтобы включить назначения гостевой конфигурации на виртуальных машинах | Эта политика добавляет управляемое удостоверение, назначаемое пользователем, на виртуальные машины, размещенные в Azure, поддерживаемых гостевой конфигурацией. Наличие управляемого удостоверения, назначаемого пользователем, является необходимым условием для всех назначений гостевой конфигурации. Удостоверение должно быть добавлено на компьютеры перед использованием каких-либо определений политики гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists; DeployIfNotExists; Отключен | 2.1.0-preview |
| App Service слоты приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| приложения App Service должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| [предварительная версия]: назначение управляемого удостоверения Built-In User-Assigned Масштабируемые наборы виртуальных машин | Создайте и назначьте Масштабируемым наборам виртуальных машин встроенное управляемое удостоверение, назначаемое пользователем, или назначьте предварительно созданное управляемое удостоверение, назначаемое пользователем, в большом масштабе. Более подробную документацию см. по адресу aka.ms/managedidentitypolicy. | AuditIfNotExists; DeployIfNotExists; Отключен | 1.1.0 (предварительная версия) |
| [предварительная версия]: назначение управляемого удостоверения Built-In User-Assigned Виртуальные машины | Создайте и назначьте виртуальным машинам встроенное управляемое удостоверение, назначаемое пользователем, или назначьте предварительно созданное управляемое удостоверение, назначаемое пользователем, в большом масштабе. Более подробную документацию см. по адресу aka.ms/managedidentitypolicy. | AuditIfNotExists; DeployIfNotExists; Отключен | 1.1.0 (предварительная версия) |
| Automation Account должен иметь управляемое удостоверение | Используйте управляемые удостоверения в качестве рекомендуемого метода проверки подлинности с помощью Azure ресурсов из модулей Runbook. Управляемое удостоверение для проверки подлинности является более безопасным и устраняет затраты на управление, связанные с использованием учетной записи RunAs в коде runbook. | Ревизия; Нетрудоспособный | 1.0.0 |
| Фабрика данных Azure связанные службы должны использовать проверку подлинности управляемого удостоверения, назначаемую системой | Использование управляемого удостоверения, назначаемого системой, при взаимодействии с хранилищами данных через связанные службы позволяет избежать использования менее защищенных учетных данных, таких как пароли или строки подключения. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| Кластеры Служба Azure Kubernetes должны использовать управляемые удостоверения | Используйте управляемые удостоверения для создания оболочки для субъектов-служб, более удобного управления кластерами и уменьшения сложности, связанной с управляемыми субъектами-службами. См. дополнительные сведения: https://aka.ms/aks-update-managed-identities. | Ревизия; Нетрудоспособный | 1.0.1 |
| рабочие области Машинное обучение Azure должны использовать управляемое удостоверение | Доступ Manange к рабочей области Azure машинного обучения и связанным ресурсам, Реестр контейнеров Azure, KeyVault, Storage и App Insights с помощью управляемого удостоверения, назначаемого пользователем. По умолчанию управляемое удостоверение, назначаемое системой, используется в рабочей области машинного обучения Azure для доступа к связанным ресурсам. Назначаемое пользователем управляемое удостоверение позволяет создать удостоверение в качестве ресурса Azure и поддерживать жизненный цикл этого удостоверения. Дополнительные сведения см. в Настройка проверки подлинности между Машинное обучение Azure и другими службами. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| учетные записи Cognitive Services должны использовать управляемое удостоверение | Назначение управляемого удостоверения учетной записи Cognitive Services позволяет выполнять защищенную аутентификацию. Это удостоверение используется этой учетной записью Cognitive Service для взаимодействия с другими службами Azure, например Azure Key Vault, безопасным способом без необходимости управлять учетными данными. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| ресурс службы Communication должен использовать управляемое удостоверение | Назначение управляемого удостоверения ресурсу службы коммуникации помогает обеспечить безопасную проверку подлинности. Это удостоверение используется этим ресурсом службы коммуникации для взаимодействия с другими службами Azure, например служба хранилища Azure, безопасным способом без необходимости управлять учетными данными. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Создание и назначение встроенного управляемого удостоверения, назначаемого пользователем | Создайте и назначьте встроенное управляемое удостоверение, назначаемое пользователем, в масштабе виртуальных машин SQL. | AuditIfNotExists; DeployIfNotExists; Отключен | 1.8.0 |
| приложения Function должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists; Нетрудоспособный | 3.1.0 |
| [предварительная версия]: федеративные учетные данные управляемого удостоверения из Azure Kubernetes должны быть из доверенных источников | Эта политика ограничивает федерецию с помощью кластеров Kubernetes Azure только кластерам из утвержденных клиентов, утвержденных регионов и определенного списка исключений дополнительных кластеров. | Ревизия; Нетрудоспособный; Отрицать | 1.0.0-preview |
| [предварительная версия]: федеративные учетные данные управляемого удостоверения из GitHub должны быть у владельцев доверенных репозиториев | Эта политика ограничивает федерацию с репозиториями GitHub только утвержденным владельцам репозитория. | Ревизия; Нетрудоспособный; Отрицать | 1.0.1-preview |
| [предварительная версия]: федеративные учетные данные управляемого удостоверения должны быть из разрешенных типов издателей | Эта политика ограничивает, могут ли управляемые удостоверения использовать федеративные учетные данные, которым разрешены распространенные типы издателей, и предоставляет список разрешенных исключений издателя. | Ревизия; Нетрудоспособный; Отрицать | 1.0.0-preview |
| Managed Identity должен быть включен для приложений контейнеров | Принудительное применение управляемого удостоверения гарантирует, что приложения-контейнеры могут безопасно проходить проверку подлинности в любом ресурсе, поддерживающем проверку подлинности Azure AD | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| задание Stream Analytics должно использовать управляемое удостоверение для проверки подлинности конечных точек | Убедитесь, что задания Stream Analytics подключаются только к конечным точкам с помощью проверки подлинности управляемого удостоверения. | Отрицать; Нетрудоспособный; Ревизия | 1.0.0 |
| расширение гостевой конфигурации Virtual machines должно быть развернуто с управляемым удостоверением | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Azure виртуальные машины в области этой политики будут несовместимы при установке расширения гостевой конфигурации, но не имеют управляемого удостоверения, назначаемого системой. Дополнительные сведения см. в разделе Azure | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
IM-4: проверка подлинности сервера и служб
Дополнительные сведения см. в статье "Управление удостоверениями: IM-4: проверка подлинности сервера и служб".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| конечные точки API в Azure API Management должны проходить проверку подлинности | Конечные точки API, опубликованные в Azure API Management, должны применять проверку подлинности, чтобы свести к минимуму риски безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и access данных. Дополнительные сведения об угрозе API OWASP для неработаемой проверки подлинности пользователей: Recommendations для устранения основных угроз безопасности API OWASP с помощью API Management | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| API Management вызовы серверных компонентов API должны проходить проверку подлинности | Вызовы от API Management к серверным службам должны использовать некоторую форму проверки подлинности, будь то через сертификаты или учетные данные. Не применяется к серверным службам Fabric. | Ревизия; Нетрудоспособный; Отрицать | 1.0.1 |
| API Management вызовы серверных служб API не должны обходить отпечаток сертификата или проверку имени | Чтобы повысить безопасность API, API Management должен проверить сертификат внутреннего сервера для всех вызовов API. Включите проверку отпечатка и имени SSL-сертификата. | Ревизия; Нетрудоспособный; Отрицать | 1.0.2 |
| Слоты приложений App Service должны иметь включенные клиентские сертификаты (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| База данных SQL Azure должен работать с TLS версии 1.2 или более поздней | Настройка TLS версии 1.2 или более поздней повышает безопасность, обеспечивая доступ к База данных SQL Azure только от клиентов с помощью TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Ревизия; Нетрудоспособный; Отрицать | 2.0.0 |
IM-6. Использование строгих элементов управления проверкой подлинности
Дополнительные сведения см. в разделе "Управление удостоверениями: IM-6: использование надежных элементов управления проверкой подлинности".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Authentication на компьютерах Linux должны требоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Самый безопасный вариант проверки подлинности на виртуальной машине Linux Azure по протоколу SSH — с парой открытого закрытого ключа, также известной как ключи SSH. Дополнительные сведения: шаги Detailed: создание ключей SSH для проверки подлинности на виртуальной машине Linux в Azure. | AuditIfNotExists; Нетрудоспособный | 3.2.0 |
IM-8. Ограничение доступа к учетным данным и секретам
Дополнительные сведения см. в разделе "Управление удостоверениями: IM-8: ограничение раскрытия учетных данных и секретов".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| API Management— значения именованных значений должны храниться в Azure Key Vault | Именованные значения — это коллекция пар имен и значений в каждой службе API Management. Значения секретов можно хранить как зашифрованный текст в службе управления API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Чтобы повысить безопасность управления API и секретов, ссылаться на именованные значения секретов из Azure Key Vault. Azure Key Vault поддерживает детализированное управление доступом и политики смены секретов. | Ревизия; Нетрудоспособный; Отрицать | 1.0.2 |
| Machines должны иметь разрешения секретов | Проверяет virtual machines, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов в virtual machines. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
IR-2: подготовка — настройка уведомлений об инцидентах
Дополнительные сведения см. в разделе "Ответ на инциденты: IR-2: подготовка — уведомление об инциденте установки".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| уведомление Email для оповещений с высоким уровнем серьезности должно быть включено | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists; Нетрудоспособный | 1.2.0 |
| уведомление Email владельцу подписки для оповещений с высоким уровнем серьезности следует включить | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists; Нетрудоспособный | 2.1.0 |
| Subscriptions должен иметь контактный адрес электронной почты для проблем с безопасностью | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
IR-3: обнаружение и анализ — создание инцидентов на основе высококачественных оповещений
Дополнительные сведения см. в разделе "Ответ на инциденты: IR-3: обнаружение и анализ" — создание инцидентов на основе высококачественных оповещений.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Azure Defender для службы приложений следует включить | Azure Defender для службы приложений использует масштаб облака и видимость, которая Azure имеет в качестве поставщика облачных служб, для мониторинга распространенных атак веб-приложения. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Defender для серверов База данных SQL Azure следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для Key Vault следует включить | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты и аналитики безопасности путем обнаружения необычных и потенциально опасных попыток доступа к учетным записям key vault. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Defender для Resource Manager следует включить | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и оповещения о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager см. в Microsoft Defender для Resource Manager — преимущества и функции. Включение этого плана Azure Defender приводит к сбору. Сведения о ценах на регион на странице цен Центра безопасности: Прикинг - Microsoft Defender для облака. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для серверов SQL на компьютерах следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для SQL следует включить для незащищенных серверов Azure SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists; Нетрудоспособный | 2.0.1 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных управляемых экземпляров SQL | Аудит каждого Управляемый экземпляр SQL без расширенной безопасности данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для реляционных баз данных с открытым кодом следует включить | Azure Defender для реляционных баз данных с открытым кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. Дополнительные сведения о возможностях Azure Defender реляционных баз данных с открытым кодом см. в Overview Defender для Open-Source реляционных баз данных. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Сведения о ценах на странице цен центра безопасности: Прикинг — Microsoft Defender для облака | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для серверов следует включить | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Microsoft Defender CSPM следует включить | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. Defender CSPM доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для API следует включить | Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и освещение ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Microsoft Defender для контейнеров следует включить | Microsoft Defender для контейнеров обеспечивает защиту, оценку уязвимостей и защиту во время выполнения для Azure, гибридных и многооблачных сред Kubernetes. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для SQL следует включить для незащищенных рабочих областей Synapse | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает аномальные действия Synapse SQL, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для хранилища следует включить | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новая Defender плана хранения включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (на storage учетную запись) для контроля над покрытием и затратами. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| SQL server-целевая автоматическая подготовка должна быть включена для серверов SQL на планах компьютеров | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга, Azure предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоматическую подготовку агента мониторинга Microsoft, так как этот компонент устарел. Дополнительные сведения: Migrate Defender для SQL на компьютерах с помощью AMA | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
IR-4: обнаружение и анализ — исследование инцидента
Дополнительные сведения см. в разделе "Ответ на инциденты: IR-4: обнаружение и анализ" — исследование инцидента.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Наблюдатель за сетями следует включить | Наблюдатель за сетями — это региональная служба, которая позволяет отслеживать и диагностировать условия на уровне сетевого сценария в Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. Необходимо создать группу ресурсов network watcher в каждом регионе, где присутствует virtual network. Оповещение включено, если группа ресурсов network watcher недоступна в определенном регионе. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
IR-5: обнаружение и анализ — определение приоритетов инцидентов
Дополнительные сведения см. в разделе "Ответ на инциденты: IR-5: обнаружение и анализ- приоритет инцидентов".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Azure Defender для службы приложений следует включить | Azure Defender для службы приложений использует масштаб облака и видимость, которая Azure имеет в качестве поставщика облачных служб, для мониторинга распространенных атак веб-приложения. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Defender для серверов База данных SQL Azure следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для Key Vault следует включить | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты и аналитики безопасности путем обнаружения необычных и потенциально опасных попыток доступа к учетным записям key vault. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Defender для Resource Manager следует включить | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и оповещения о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager см. в Microsoft Defender для Resource Manager — преимущества и функции. Включение этого плана Azure Defender приводит к сбору. Сведения о ценах на регион на странице цен Центра безопасности: Прикинг - Microsoft Defender для облака. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для серверов SQL на компьютерах следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для SQL следует включить для незащищенных серверов Azure SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists; Нетрудоспособный | 2.0.1 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных управляемых экземпляров SQL | Аудит каждого Управляемый экземпляр SQL без расширенной безопасности данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для реляционных баз данных с открытым кодом следует включить | Azure Defender для реляционных баз данных с открытым кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. Дополнительные сведения о возможностях Azure Defender реляционных баз данных с открытым кодом см. в Overview Defender для Open-Source реляционных баз данных. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Сведения о ценах на странице цен центра безопасности: Прикинг — Microsoft Defender для облака | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для серверов следует включить | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Microsoft Defender CSPM следует включить | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. Defender CSPM доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для API следует включить | Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и освещение ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Microsoft Defender для контейнеров следует включить | Microsoft Defender для контейнеров обеспечивает защиту, оценку уязвимостей и защиту во время выполнения для Azure, гибридных и многооблачных сред Kubernetes. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для SQL следует включить для незащищенных рабочих областей Synapse | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает аномальные действия Synapse SQL, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для хранилища следует включить | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новая Defender плана хранения включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (на storage учетную запись) для контроля над покрытием и затратами. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| SQL server-целевая автоматическая подготовка должна быть включена для серверов SQL на планах компьютеров | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга, Azure предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоматическую подготовку агента мониторинга Microsoft, так как этот компонент устарел. Дополнительные сведения: Migrate Defender для SQL на компьютерах с помощью AMA | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
LT-1. Включение возможностей обнаружения угроз
Дополнительные сведения см. в разделе "Ведение журнала" и "Обнаружение угроз": LT-1. Включение возможностей обнаружения угроз.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| [предварительная версия]: кластеры Kubernetes с поддержкой Azure Arc должны быть установлены Microsoft Defender для облака расширения | расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет его в Azure Defender серверной части Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. в Secure score in Defender для облака. | AuditIfNotExists; Нетрудоспособный | 6.0.0-preview |
| Azure Defender для службы приложений следует включить | Azure Defender для службы приложений использует масштаб облака и видимость, которая Azure имеет в качестве поставщика облачных служб, для мониторинга распространенных атак веб-приложения. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Defender для серверов База данных SQL Azure следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для Key Vault следует включить | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты и аналитики безопасности путем обнаружения необычных и потенциально опасных попыток доступа к учетным записям key vault. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Defender для реляционных баз данных с открытым кодом следует включить | Azure Defender для реляционных баз данных с открытым кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. Дополнительные сведения о возможностях Azure Defender реляционных баз данных с открытым кодом см. в Overview Defender для Open-Source реляционных баз данных. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Сведения о ценах на странице цен центра безопасности: Прикинг — Microsoft Defender для облака | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для Resource Manager следует включить | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и оповещения о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager см. в Microsoft Defender для Resource Manager — преимущества и функции. Включение этого плана Azure Defender приводит к сбору. Сведения о ценах на регион на странице цен Центра безопасности: Прикинг - Microsoft Defender для облака. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для серверов следует включить | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для SQL следует включить для незащищенных серверов Azure SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists; Нетрудоспособный | 2.0.1 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных управляемых экземпляров SQL | Аудит каждого Управляемый экземпляр SQL без расширенной безопасности данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| кластеры Служба Azure Kubernetes должны быть включены Defender профиля | Microsoft Defender для контейнеров предоставляет облачные возможности безопасности Kubernetes, включая защиту среды, защиту рабочей нагрузки и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Служба Azure Kubernetes агент развертывается в кластере для сбора данных о событиях безопасности. Дополнительные сведения о Microsoft Defender для контейнеров в Менаж MCSB рекомендаций в Defender для облака | Ревизия; Нетрудоспособный | 2.0.1 |
| [Предварительная версия]. На виртуальной машине Linux с поддержкой Arc должно быть установлено расширение ChangeTracking | Установите расширение ChangeTracking на компьютерах Linux Arc, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists; Нетрудоспособный | 1.0.0-preview |
| [Предварительная версия]. На виртуальной машине Linux должно быть установлено расширение "Отслеживание изменений" | Установите расширение ChangeTracking на виртуальных машинах Linux, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists; Нетрудоспособный | 2.0.0-preview |
| Расширение ChangeTracking должно быть установлено на масштабируемых наборах виртуальных машин Linux | Установите расширение ChangeTracking в масштабируемых наборах виртуальных машин Linux, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists; Нетрудоспособный | 2.0.1 |
| [предварительная версия]: расширение ChangeTracking должно быть установлено на компьютере Windows Arc | Установите расширение ChangeTracking на Windows компьютерах Arc, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists; Нетрудоспособный | 1.0.0-preview |
| [предварительная версия]: расширение ChangeTracking должно быть установлено на виртуальной машине Windows | Установите расширение ChangeTracking на Windows виртуальных машинах, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists; Нетрудоспособный | 2.0.0-preview |
| расширение ChangeTracking должно быть установлено в масштабируемых наборах виртуальных машин Windows | Установите расширение ChangeTracking на Windows масштабируемых наборов виртуальных машин, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists; Нетрудоспособный | 2.0.1 |
| Microsoft Defender CSPM следует включить | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. Defender CSPM доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для API следует включить | Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и освещение ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Microsoft Defender для Azure Cosmos DB следует включить | Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает попытки эксплойтировать базы данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе Microsoft аналитики угроз, подозрительных шаблонов доступа и потенциальных эксплуатации базы данных с помощью скомпрометированных удостоверений или вредоносных инсайдеров. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для контейнеров следует включить | Microsoft Defender для контейнеров обеспечивает защиту, оценку уязвимостей и защиту во время выполнения для Azure, гибридных и многооблачных сред Kubernetes. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для SQL следует включить для незащищенных рабочих областей Synapse | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает аномальные действия Synapse SQL, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для хранилища следует включить | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новая Defender плана хранения включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (на storage учетную запись) для контроля над покрытием и затратами. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" | Стандартная ценовая категория обеспечивает обнаружение угроз для сетей и виртуальных машин, предоставляя аналитику угроз, обнаружение аномалий и аналитику поведения в Центр безопасности Azure | Ревизия; Нетрудоспособный | 1.1.0 |
| SQL server-целевая автоматическая подготовка должна быть включена для серверов SQL на планах компьютеров | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга, Azure предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоматическую подготовку агента мониторинга Microsoft, так как этот компонент устарел. Дополнительные сведения: Migrate Defender для SQL на компьютерах с помощью AMA | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Windows Defender Exploit Guard следует включить на компьютерах | Windows Defender Exploit Guard использует агент гостевой конфигурации Политика Azure. Exploit Guard имеет четыре компонента, предназначенные для блокировки устройств с различными векторами атак и блокируют поведение, обычно используемое в атаках вредоносных программ, позволяя предприятиям сбалансировать свои требования к безопасности и производительности (Windows только). | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
LT-2. Включение обнаружения угроз для управления удостоверениями и access
Дополнительные сведения см. в разделе Logging and Threat Detection: LT-2: включение обнаружения угроз для удостоверений и управления access.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Azure Defender для службы приложений следует включить | Azure Defender для службы приложений использует масштаб облака и видимость, которая Azure имеет в качестве поставщика облачных служб, для мониторинга распространенных атак веб-приложения. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Defender для серверов База данных SQL Azure следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для Key Vault следует включить | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты и аналитики безопасности путем обнаружения необычных и потенциально опасных попыток доступа к учетным записям key vault. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Azure Defender для Resource Manager следует включить | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и оповещения о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager см. в Microsoft Defender для Resource Manager — преимущества и функции. Включение этого плана Azure Defender приводит к сбору. Сведения о ценах на регион на странице цен Центра безопасности: Прикинг - Microsoft Defender для облака. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для серверов SQL на компьютерах следует включить | Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для SQL следует включить для незащищенных серверов Azure SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists; Нетрудоспособный | 2.0.1 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для SQL следует включить для незащищенных управляемых экземпляров SQL | Аудит каждого Управляемый экземпляр SQL без расширенной безопасности данных. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Azure Defender для реляционных баз данных с открытым кодом следует включить | Azure Defender для реляционных баз данных с открытым кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. Дополнительные сведения о возможностях Azure Defender реляционных баз данных с открытым кодом см. в Overview Defender для Open-Source реляционных баз данных. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Сведения о ценах на странице цен центра безопасности: Прикинг — Microsoft Defender для облака | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Defender для серверов следует включить | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| кластеры Служба Azure Kubernetes должны быть включены Defender профиля | Microsoft Defender для контейнеров предоставляет облачные возможности безопасности Kubernetes, включая защиту среды, защиту рабочей нагрузки и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Служба Azure Kubernetes агент развертывается в кластере для сбора данных о событиях безопасности. Дополнительные сведения о Microsoft Defender для контейнеров в Менаж MCSB рекомендаций в Defender для облака | Ревизия; Нетрудоспособный | 2.0.1 |
| Microsoft Defender CSPM следует включить | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. Defender CSPM доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для контейнеров следует включить | Microsoft Defender для контейнеров обеспечивает защиту, оценку уязвимостей и защиту во время выполнения для Azure, гибридных и многооблачных сред Kubernetes. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Microsoft Defender для SQL следует включить для незащищенных рабочих областей Synapse | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает аномальные действия Synapse SQL, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| SQL server-целевая автоматическая подготовка должна быть включена для серверов SQL на планах компьютеров | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга, Azure предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоматическую подготовку агента мониторинга Microsoft, так как этот компонент устарел. Дополнительные сведения: Migrate Defender для SQL на компьютерах с помощью AMA | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Windows Defender Exploit Guard следует включить на компьютерах | Windows Defender Exploit Guard использует агент гостевой конфигурации Политика Azure. Exploit Guard имеет четыре компонента, предназначенные для блокировки устройств с различными векторами атак и блокируют поведение, обычно используемое в атаках вредоносных программ, позволяя предприятиям сбалансировать свои требования к безопасности и производительности (Windows только). | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| [предварительная версия]: кластеры Kubernetes с поддержкой Azure Arc должны быть установлены Microsoft Defender для облака расширения | расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет его в Azure Defender серверной части Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. в Secure score in Defender для облака. | AuditIfNotExists; Нетрудоспособный | 6.0.0-preview |
LT-3. Включение ведения журнала для исследования безопасности
Дополнительные сведения см. в разделе "Ведение журнала" и "Обнаружение угроз": LT-3. Включение ведения журнала для исследования безопасности.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Журнал действий должен храниться как минимум один год | Эта политика проверяет журнал действий, если период хранения не установлен на 365 дней или навсегда (в качестве срока хранения задано 0 дней). | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Должно существовать оповещение в журнале активности для конкретных административных операций. | Эта политика проводит аудит определённых административных операций, для которых не настроены оповещения в журнале действий. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Для операций определённой политики должно быть создано оповещение в журнале действий | Эта политика проверяет определенные действия политики без настройки оповещений журнала активности. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Должно существовать оповещение в журнале активности для определённых операций безопасности | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists; Нетрудоспособный | 1.1.0 |
| Слоты приложений службы приложений должны иметь включенные журналы ресурсов | Аудит включения журналов ресурсов в приложении. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| App Service приложения должны включать журналы ресурсов | Аудит включения журналов ресурсов в приложении. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 2.0.1 |
| Auditing на SQL server следует включить | Аудит SQL Server должен быть включен для отслеживания действий базы данных во всех базах данных на сервере и сохранения их в журнале аудита. | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| Шлюз приложений Azure должен включать журналы ресурсов | Включите журналы ресурсов для Шлюз приложений Azure (плюс WAF) и потоковую передачу в рабочую область Log Analytics. Получите подробные сведения о входящего веб-трафика и действиях, принятых для устранения атак. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Front Door должен включать журналы ресурсов | Включите журналы ресурсов для Azure Front Door (плюс WAF) и потоковую передачу в рабочую область Log Analytics. Получите подробные сведения о входящего веб-трафика и действиях, принятых для устранения атак. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Профиль журнала Azure Monitor должен собирать журналы по категориям "запись", "удаление" и "действие" | Эта политика обеспечивает, что профиль логов собирает данные по категориям "write" (запись), "delete" (удаление) и "action" (действие). | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Журналы Azure Monitor для Application Insights должны быть привязаны к рабочей области Log Analytics | Свяжите компонент Application Insights с рабочей областью Log Analytics для шифрования журналов. Ключи, управляемые клиентом, обычно требуются для соблюдения нормативных требований и усиления контроля за доступом к данным в Azure Monitor. Связывание компонента с рабочей областью Log Analytics, которая включена с помощью ключа, управляемого клиентом, гарантирует, что журналы Application Insights соответствуют этому требованию, см. статью /azure/azure-monitor/platform/customer-managed-keys. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Azure Monitor должен собирать журналы действий из всех регионов | Данная политика проверяет лог-профиль Azure Monitor, который не экспортирует действия из всех поддерживаемых Azure регионов, включая глобальный. | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| Azure Monitor необходимо развернуть решение "Безопасность и аудит" | Эта политика гарантирует развертывание решения "Безопасность и аудит". | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Служба Azure SignalR должна включить журналы диагностики | Аудит включения журналов диагностики. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Подписки Azure должны иметь профиль для ведения журнала активности | Эта политика гарантирует, что профиль журнала включен для экспорта данных из журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Для Службы Azure Web PubSub должны быть включены журналы диагностики | Аудит включения журналов диагностики. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| [Предварительная версия]: настройка подписок для включения правила мониторинга оповещений о работоспособности службы | Назначаемое на уровне подписки или группы управления, эта политика гарантирует, что каждая подписка имеет правило оповещения о работоспособности службы, настроенное с условиями генерации оповещений и сопоставлением с группами действий, указанными в параметрах политики. По умолчанию создается группа ресурсов, правило генерации оповещений и группа действий, настроенная для отправки сообщений электронной почты владельцам подписок для всех событий работоспособности службы. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.4.0-preview |
| Diagnostic logs in Azure AI services resources должны быть включены | Включите журналы для Azure AI services ресурсов. Это позволяет повторно создавать тропы действий для расследования, когда происходит инцидент безопасности или сеть скомпрометирована. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| журналы Resource в магазине Azure Data Lake должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.0.0 |
| журналы Resource в рабочих областях Azure Databricks должны быть включены | Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| В управляемом модуле HSM в Azure Key Vault необходимо включить журналы ресурсов | Чтобы воссоздать следы действий для расследования инцидентов безопасности или несанкционированного доступа к сети, можно выполнить аудит, включив журналы ресурсов в управляемых модулях HSM. Следуйте инструкциям здесь: /azure/key-vault/managed-hsm/log. | AuditIfNotExists; Нетрудоспособный | 1.1.0 |
| журналы Resource в Служба Azure Kubernetes должны быть включены | журналы ресурсов Служба Azure Kubernetes помогут воссоздать следы действий при расследовании инцидентов безопасности. Включите ведение этих журналов, чтобы воспользоваться ими при необходимости. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| журналы Resource в рабочих областях Машинное обучение Azure должны быть включены | Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| журналы Resource в Azure Stream Analytics должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.0.0 |
| журналы Resource в учетных записях пакетной службы должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.0.0 |
| журналы Resource в Data Lake Analytics должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.0.0 |
| журналы Resource в Концентраторе событий должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.0.0 |
| журналы Resource в Центр Интернета вещей должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 3.1.0 |
| журналы Resource в Key Vault должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.0.0 |
| журналы Resource в Logic Apps должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.1.0 |
| журналы Resource в службах поиска должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.0.0 |
| журналы Resource в служебная шина должны быть включены | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists; Нетрудоспособный | 5.0.0 |
LT-4. Включение ведения сетевого журнала для исследования безопасности
Дополнительные сведения см. в разделе "Ведение журнала" и "Обнаружение угроз": LT-4. Включение ведения журнала сети для исследования безопасности.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Все ресурсы журнала потоков должны быть включены в состоянии | Выполните аудит ресурсов журнала потоков, чтобы проверить, включено ли состояние журнала потоков. Включение журналов потоков позволяет регистрировать сведения о потоке IP-трафика. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Ревизия; Нетрудоспособный | 1.0.1 |
| Настройка журналов потоков аудита для каждой виртуальной сети | Аудит виртуальной сети, чтобы проверить, настроены ли журналы потоков. Включение журналов потоков позволяет регистрировать сведения о IP-трафике, потокуемом через виртуальную сеть. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Ревизия; Нетрудоспособный | 1.0.1 |
| Включение ведения журнала по группе категорий для шлюзов приложений (microsoft.network/applicationgateways) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для шлюзов приложений (microsoft.network/applicationgateways). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для шлюзов приложений (microsoft.network/applicationgateways) на Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для шлюзов приложений (microsoft.network/applicationgateways). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для шлюзов приложений (microsoft.network/applicationgateways) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для шлюзов приложений (microsoft.network/applicationgateways). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для Бастионов (microsoft.network/bastionhosts) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для бастионов (microsoft.network/bastionhosts). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.2.0 |
| Enable ведение журнала по группе категорий для бастионов (microsoft.network/бастионhosts) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для бастионов (microsoft.network/bastionhosts). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для бастионов (microsoft.network/bastionhosts) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения бастионов (microsoft.network/bastionhosts). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для конечных точек (microsoft.cdn/profiles/endpoints) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для конечных точек (microsoft.cdn/profiles/endpoints). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для конечных точек (microsoft.cdn/profiles/endpoints) на Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для конечных точек (microsoft.cdn/profiles/endpoints). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для конечных точек (microsoft.cdn/profiles/endpoints) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для конечных точек (microsoft.cdn/profiles/endpoints). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группам категорий для каналов ExpressRoute (microsoft.network/expressroutecircuits) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для каналов ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для каналов ExpressRoute (microsoft.network/expressroutecircuits) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для каналов ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группам категорий для каналов ExpressRoute (microsoft.network/expressroutecircuits) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для каналов ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для брандмауэра (microsoft.network/azurefirewalls) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для брандмауэра (microsoft.network/azurefirewalls). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для брандмауэров (microsoft.network/azurefirewalls) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для брандмауэров (microsoft.network/azurefirewalls). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для брандмауэров (microsoft.network/azurefirewalls) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для брандмауэров (microsoft.network/azurefirewalls). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для брандмауэров (microsoft.network/azurefirewalls) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для брандмауэров (microsoft.network/azurefirewalls). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группам категорий для профилей Front Door и CDN (microsoft.cdn/profiles) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для профилей Front Door и CDN (microsoft.cdn/profiles). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.2.0 |
| Enable ведение журнала по группам категорий для профилей Front Door и CDN (microsoft.cdn/profiles) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для профилей Front Door и CDN (microsoft.cdn/profiles). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для профилей Front Door и CDN (microsoft.cdn/profiles) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для профилей Front Door и CDN (microsoft.cdn/profiles). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для профилей Front Door и CDN (microsoft.network/frontdoors) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для профилей Front Door и CDN (microsoft.network/frontdoors). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.2.0 |
| Enable ведение журнала по группам категорий для профилей Front Door и CDN (microsoft.network/frontdoors) до Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для профилей Front Door и CDN (microsoft.network/frontdoors). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для профилей Front Door и CDN (microsoft.network/frontdoors) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для профилей Front Door и CDN (microsoft.network/frontdoors). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для подсистем балансировки нагрузки (microsoft.network/loadbalancers) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для подсистем балансировки нагрузки (microsoft.network/loadbalancers). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для подсистем балансировки нагрузки (microsoft.network/loadbalancers) на Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для подсистем балансировки нагрузки (microsoft.network/loadbalancers). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для подсистем балансировки нагрузки (microsoft.network/loadbalancers) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для подсистем балансировки нагрузки (microsoft.network/loadbalancers). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.cdn/cdnwebapplicationfirewallpolicies в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.cdn/cdnwebapplicationfirewallpolicies. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для microsoft.cdn/cdnwebapplicationfirewallpolicies на Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.cdn/cdnwebapplicationfirewallpolicies. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.cdn/cdnwebapplicationfirewallpolicies в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.cdn/cdnwebapplicationfirewallpolicies. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/dnsresolverpolicies в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.network/dnsresolverpolicies. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для microsoft.network/dnsresolverpolicies в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/dnsresolverpolicies. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/dnsresolverpolicies в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.network/dnsresolverpolicies. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkmanagers/ipampools в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий microsoft.network/networkmanagers/ipampools. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для microsoft.network/networkmanagers/ipampools в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/networkmanagers/ipampools. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkmanagers/ipampools в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.network/networkmanagers/ipampools. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/networksecurityperimeters в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.network/networksecurityperimeters. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для microsoft.network/networksecurityperimeters в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/networksecurityperimeters. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/networksecurityperimeters в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для microsoft.network/networksecurityperimeters. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/p2svpngateways в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.network/p2svpngateways. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.2.0 |
| Enable ведение журнала по группам категорий для microsoft.network/p2svpngateways на Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/p2svpngateways. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для microsoft.network/p2svpngateways в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.network/p2svpngateways. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для microsoft.network/vpngateways в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.network/vpngateways. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для microsoft.network/vpngateways на Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.network/vpngateways. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.network/vpngateways в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для microsoft.network/vpngateways. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkfunction/azuretrafficcollectors в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для microsoft.networkfunction/azuretrafficcollectors для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для microsoft.networkfunction/azuretrafficcollectors в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для диспетчеров сетей (microsoft.network/networkmanagers) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для сетевых менеджеров (microsoft.network/networkmanagers). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по категориям для диспетчеров сети (microsoft.network/networkmanagers) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для диспетчеров сети (microsoft.network/networkmanagers). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для диспетчеров сетей (microsoft.network/networkmanagers) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для диспетчеров сети (microsoft.network/networkmanagers). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для групп безопасности сети (microsoft.network/networksecuritygroups) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для групп безопасности сети (microsoft.network/networksecuritygroups). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по категориям для групп безопасности сети (microsoft.network/networksecuritygroups) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для групп безопасности сети (microsoft.network/networksecuritygroups). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для групп безопасности сети (microsoft.network/networksecuritygroups) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для групп безопасности сети (microsoft.network/networksecuritygroups). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для общедоступных IP-адресов (microsoft.network/publicipaddresses) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для общедоступных IP-адресов (microsoft.network/publicipaddresses). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.2.0 |
| Enable ведение журнала по группам категорий для общедоступных IP-адресов (microsoft.network/publicipaddresses) до Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для общедоступных IP-адресов (microsoft.network/publicipaddresses). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для общедоступных IP-адресов (microsoft.network/publicipaddresses) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для общедоступных IP-адресов (microsoft.network/publicipaddresses). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для префиксов общедоступных IP-адресов (microsoft.network/publicipprefixes) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для префиксов общедоступного IP-адреса (microsoft.network/publicipprefixes). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для префиксов общедоступных IP-адресов (microsoft.network/publicipprefixes) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для префиксов общедоступных IP-адресов (microsoft.network/publicipprefixes). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для префиксов общедоступных IP-адресов (microsoft.network/publicipprefixes) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для префиксов общедоступного IP-адреса (microsoft.network/publicipprefixes). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для профилей диспетчера трафика (microsoft.network/trafficmanagerprofiles) на Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для профилей диспетчера трафика (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для профилей Диспетчер трафика (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Включение ведения журнала по группе категорий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.2.0 |
| Enable ведение журнала по группам категорий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для шлюзов виртуальной сети (microsoft.network/virtualnetworkgateways). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для виртуальных сетей (microsoft.network/virtualnetworks) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для виртуальных сетей (microsoft.network/virtualnetworks). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| Enable ведение журнала по группам категорий для виртуальных сетей (microsoft.network/virtualnetworks) для Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для виртуальных сетей (microsoft.network/virtualnetworks). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.1.0 |
| Включение ведения журнала по группе категорий для виртуальных сетей (microsoft.network/virtualnetworks) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для виртуальных сетей (microsoft.network/virtualnetworks). | DeployIfNotExists; AuditIfNotExists; Отключен | 1.0.0 |
| журналы Flow следует настроить для каждой группы безопасности сети | Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Ревизия; Нетрудоспособный | 1.1.0 |
| [предварительная версия]: агент сбора данных сетевого трафика должен быть установлен в linux virtual machines | Центр безопасности использует агент зависимостей Microsoft для сбора данных сетевого трафика с Azure виртуальных машин для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. | AuditIfNotExists; Нетрудоспособный | 1.0.2-preview |
| [предварительная версия]: агент сбора данных сетевого трафика должен быть установлен на виртуальных машинах Windows | Центр безопасности использует агент зависимостей Microsoft для сбора данных сетевого трафика с Azure виртуальных машин для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. | AuditIfNotExists; Нетрудоспособный | 1.0.2-preview |
| журналы потоков Наблюдатель за сетями должны включать аналитику трафика | Аналитика трафика анализирует журналы потоков для предоставления аналитических сведений о потоке трафика в облаке Azure. Его можно использовать для визуализации сетевых действий в подписках Azure и выявления горячих точек, выявления угроз безопасности, понимания шаблонов потока трафика, определения неправильной конфигурации сети и т. д. | Ревизия; Нетрудоспособный | 1.0.1 |
| Общедоступные IP-адреса должны иметь журналы ресурсов, включенные для защиты от атак DDoS Azure | Включите журналы ресурсов для общедоступных IP-адресов в параметрах диагностики для потоковой передачи в рабочую область Log Analytics. Получите подробные сведения о трафике атаки и действиях, предпринятых для защиты от атак DDoS, используя уведомления, отчеты и журналы потоков. | AuditIfNotExists; DeployIfNotExists; Отключен | 1.0.1 |
LT-5: централизованные управление журналом безопасности и анализ
Дополнительные сведения см. в разделе "Ведение журнала и обнаружение угроз: LT-5: централизованное управление журналами безопасности и анализ".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Linux Arc-компьютеры должны быть установлены Azure Monitor агента | Компьютеры с поддержкой Linux Arc должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет выполнять аудит компьютеров с поддержкой Arc в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists; Нетрудоспособный | 1.2.0 |
| Масштабируемые наборы виртуальных машинLinux должны иметь установлен агент Azure Monitor | Масштабируемые наборы виртуальных машин Linux должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет проводить аудит масштабируемых наборов виртуальных машин с поддерживаемыми образами ОС в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists; Нетрудоспособный | 3.6.0 |
| виртуальные машины Linux должны быть установлены агентом Azure Monitor | Виртуальные машины Linux должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет проводить аудит виртуальных машин с поддерживаемыми образами ОС в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists; Нетрудоспособный | 3.6.0 |
| агент Log Analytics должен быть установлен в экземплярах ролей облачных служб | Центр безопасности собирает данные из экземпляров ролей облачных служб (расширенная поддержка) для отслеживания угроз и уязвимостей в системе безопасности. | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| Сохраненные запросы в Azure Monitor должны сохраняться в учетной записи хранения клиента для шифрования журналов | Связывание учетной записи хранения с Log Analytics рабочей областью для защиты сохраненных запросов с помощью шифрования учетной записи хранения. Ключи, управляемые клиентом, обычно требуются для соответствия нормативным требованиям и для повышения контроля доступа к сохраненным запросам в Azure Monitor. Дополнительные сведения о приведенном выше разделе см. в разделе управляемый ключомCustomer для сохраненных запросов в Azure Monitor. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| Windows на компьютерах с поддержкой Arc должен быть установлен агент Azure Monitor | Windows компьютеры с поддержкой Arc должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Windows компьютеры с поддержкой Arc в поддерживаемых регионах отслеживаются для развертывания агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists; Нетрудоспособный | 1.4.0 |
| Windows масштабируемые наборы виртуальных машин должны быть установлены Azure Monitor агентом | Windows масштабируемые наборы виртуальных машин должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Масштабируемые наборы виртуальных машин с поддерживаемой ОС и в поддерживаемых регионах отслеживаются для развертывания агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists; Нетрудоспособный | 3.5.0 |
| Windows виртуальные машины должны быть установлены Azure Monitor агента | Windows виртуальные машины следует отслеживать и защищать с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Windows виртуальные машины с поддерживаемой ОС и в поддерживаемых регионах отслеживаются для развертывания агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists; Нетрудоспособный | 3.5.0 |
LT-6. Настройка хранения storage журнала
Дополнительные сведения см. в статье Logging and Threat Detection: LT-6: Configure log storage retention.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| SQL-серверы с аудитом для назначения учетной записи storage должны быть настроены с сроком хранения или более поздней версии | В целях расследования инцидентов рекомендуется настроить хранение данных для аудита SQL Server в целевом месте учетной записи хранения не менее 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
NS-1. Установка границ сегментации сети
Дополнительные сведения см. в статье "Безопасность сети: NS-1: установка границ сегментации сети".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Все сетевые порты должны быть ограничены группами безопасности сети, связанными с виртуальной машиной | Центр безопасности Azure определил некоторые из правил входящего трафика групп безопасности сети, чтобы быть слишком миссивными. Правила для входящего трафика не должны разрешать access из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Azure кластеры Kubernetes должны использовать Azure CNI | Azure CNI является обязательным условием для некоторых функций Служба Azure Kubernetes, включая политики сети Azure, пулы узлов Windows и надстройки виртуальных узлов. См. дополнительные сведения: https://aka.ms/aks-azure-cni. | Ревизия; Нетрудоспособный | 1.0.1 |
| virtual machines Internet следует защитить с помощью групп безопасности сети | Защита virtual machines от потенциальных угроз путем ограничения access на них с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. в статье Azure обзор групп безопасности сети | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| [Предварительная версия]. На компьютерах должны быть закрыты порты, которые могут раскрывать векторы атаки | Условия использования Azure запрещают использование служб Azure способами, которые могут повредить, отключить, перезагрузить или овредить любой сервер Microsoft или сеть. Для обеспечения безопасности открытые порты, выявленные этой рекомендацией, необходимо закрыть. Для каждого обнаруженного порта в рекомендации также содержится пояснение потенциальной угрозы. | AuditIfNotExists; Нетрудоспособный | 1.0.0-preview |
| Non-Internet-wi-internet-virtual machines следует защитить с помощью групп безопасности сети | Защита virtual machines, не подключенных к Интернету, от потенциальных угроз путем ограничения access с группами безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. в статье Azure обзор групп безопасности сети | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Субнеты должны быть связаны с группой безопасности сети | Защита подсети от потенциальных угроз путем ограничения access к ней с помощью группы безопасности сети (NSG). Группы безопасности сети содержат список правил контроль доступа List (ACL), которые разрешают или запрещают сетевой трафик в подсеть. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Виртуальные машины должны быть подключены к утвержденной виртуальной сети | Эта политика используется для аудита любой виртуальной машины, подключенной к виртуальной сети, которая не утверждена. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Виртуальным сетям следует использовать указанный шлюз виртуальной сети | Эта политика используется для аудита любой виртуальной сети, если маршрут по умолчанию не указывает на конкретный шлюз виртуальной сети. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
NS-2. Защита облачных служб с помощью сетевых элементов управления
Дополнительные сведения см. в статье "Безопасность сети: NS-2: защита облачных служб с помощью сетевых элементов управления".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| службы API Management должны использовать virtual network | Azure Virtual Network развертывание обеспечивает повышенную безопасность, изоляцию и позволяет размещать службу управления API в неизменяемой сети, к которым вы управляете доступом. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что позволяет access внутренним службам в сети и (или) локальной сети. Портал разработчика и шлюз API можно настроить для доступа либо из Интернета, либо только в virtual network. | Ревизия; Отрицать; Нетрудоспособный | 1.0.2 |
| API Management должен отключить access общедоступной сети конечным точкам конфигурации службы | Чтобы повысить безопасность служб API Management, ограничьте подключение к конечным точкам конфигурации службы, таким как прямой access API управления, конечная точка управления конфигурацией Git или конечная точка конфигурации локального шлюза. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| App Configuration должен отключить access | Отключение общедоступной сети access повышает безопасность, гарантируя, что ресурс не предоставляется в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. Дополнительные сведения: Использовать частные конечные точки для Конфигурация приложений Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| App Configuration должен использовать номер SKU, поддерживающий private link | При использовании поддерживаемого номера SKU Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с app configuration экземплярами вместо всей службы, вы также будете защищены от рисков утечки данных. Дополнительные сведения: Использовать частные конечные точки для Конфигурация приложений Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| App Configuration следует использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с app configuration экземплярами вместо всей службы, вы также будете защищены от рисков утечки данных. Дополнительные сведения: Использовать частные конечные точки для Конфигурация приложений Azure. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Слоты приложений в Службе приложений должны быть подключены к виртуальной сети | Внедрение приложений Службы приложений в виртуальную сеть открывает расширенные возможности обеспечения безопасности и сетевого взаимодействия Службы приложений, а также позволяет вам управлять конфигурацией безопасности сети. Дополнительные сведения: /azure/app-service/web-sites-integrate-with-vnet. | Ревизия; Отрицать; Нетрудоспособный | 1.2.0 |
| Отключение общедоступной сети access повышает безопасность, гарантируя, что App Service не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие App Service. Дополнительные сведения см. в разделе "Использование частных конечных точек для приложений". | Ревизия; Нетрудоспособный; Отрицать | 1.0.0 | |
| Слоты приложений службы приложений должны включать настройку маршрутизации в Azure Виртуальную Сеть | По умолчанию конфигурация приложения, например извлечение образов контейнеров и подключение хранилища содержимого, не направляется через интеграцию региональной виртуальной сети. Для версий API до версии 2024-11-01 задайте для параметра "vnetImagePullEnabled" и "vnetContentShareEnabled" значение true. Для 2024-11-01+задайте для параметра outboundVnetRouting.imagePullTraffic и outboundVnetRouting.contentShareTraffic значение true. Узнайте больше по адресу https://aka.ms/appservice-vnet-configuration-routing. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Слоты приложения App Service должны обеспечивать исходящий трафик, не соответствующий RFC 1918, в виртуальную сеть Azure | По умолчанию интеграция региональной виртуальной сети направляет только RFC1918 трафик в виртуальную сеть. Для версий API до 2024-11-01 задайте значение "vnetRouteAllEnabled", чтобы включить весь исходящий трафик в Azure Virtual Network. Для 2024-11-01+задайте для параметра outboundVnetRouting.applicationTraffic значение true. Это позволяет группам безопасности сети и определяемым пользователем маршрутам для всего исходящего трафика. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Приложения Службы приложений должны быть внедрены в виртуальную сеть | Внедрение приложений Службы приложений в виртуальную сеть открывает расширенные возможности обеспечения безопасности и сетевого взаимодействия Службы приложений, а также позволяет вам управлять конфигурацией безопасности сети. Дополнительные сведения: /azure/app-service/web-sites-integrate-with-vnet. | Ревизия; Отрицать; Нетрудоспособный | 3.2.0 |
| приложения App Service должны отключить access | Отключение общедоступной сети access повышает безопасность, гарантируя, что App Service не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие App Service. Дополнительные сведения см. в разделе "Использование частных конечных точек для приложений". | Ревизия; Нетрудоспособный; Отрицать | 1.1.0 |
| Приложения в службе приложений должны включать маршрутизацию конфигурации в виртуальную сеть Azure | По умолчанию конфигурация приложения, например извлечение образов контейнеров и подключение хранилища содержимого, не направляется через интеграцию региональной виртуальной сети. Для версий API до версии 2024-11-01 задайте для параметра "vnetImagePullEnabled" и "vnetContentShareEnabled" значение true. Для 2024-11-01+задайте для параметра outboundVnetRouting.imagePullTraffic и outboundVnetRouting.contentShareTraffic значение true. Узнайте больше по адресу https://aka.ms/appservice-vnet-configuration-routing. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Приложения службы App Service должны разрешать исходящий трафик, не относящийся к RFC 1918, во Виртуальную сеть Azure | По умолчанию интеграция региональной виртуальной сети направляет только RFC1918 трафик в виртуальную сеть. Для версий API до 2024-11-01 задайте значение "vnetRouteAllEnabled", чтобы включить весь исходящий трафик в Azure Virtual Network. Для 2024-11-01+задайте для параметра outboundVnetRouting.applicationTraffic значение true. Это позволяет группам безопасности сети и определяемым пользователем маршрутам для всего исходящего трафика. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| приложения App Service должны использовать номер SKU, поддерживающий private link | С поддерживаемыми номерами SKU Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с приложениями, вы можете снизить риски утечки данных. Дополнительные сведения о частных ссылках см. в разделе "Использование частных конечных точек для приложений". | Ревизия; Отрицать; Нетрудоспособный | 4.3.0 |
| Приложения Службы приложений Azure должны использовать конечную точку службы для виртуальной сети | Используйте конечные точки службы для виртуальной сети, чтобы ограничить доступ к приложению из выбранных подсетей виртуальной сети Azure. Дополнительные сведения о конечных точках службы для Службы приложений см. по адресу https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists; Нетрудоспособный | 2.0.1 |
| приложения App Service должны использовать private link | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с App Service, можно уменьшить риски утечки данных. Дополнительные сведения о частных ссылках см. в разделе "Использование частных конечных точек для приложений". | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| Среда службы приложений приложения не должны быть доступны через общедоступный Интернет | Чтобы убедиться, что приложения, развернутые в Среда службы приложений, недоступны через общедоступный Интернет, следует развернуть Среда службы приложений с IP-адресом в виртуальной сети. Чтобы задать IP-адрес виртуальной сети, Среда службы приложений необходимо развернуть с помощью внутренней подсистемы балансировки нагрузки. | Ревизия; Отрицать; Нетрудоспособный | 3.0.0 |
| компоненты Application Insights должны блокировать прием журналов и запросы из общедоступных сетей | Повысьте безопасность Application Insights, блокируя прием журналов и отправку запросов из общедоступных сетей. Только сети, подключенные по частному каналу, смогут принимать и запрашивать журналы этого компонента. Дополнительные сведения см. в Use Приватный канал Azure для подключения сетей к Azure Monitor. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| Компоненты Application Insights с включенной функцией Приватный канал должны использовать клиентские учетные записи хранения для профилировщика и отладчика. | Чтобы обеспечить поддержку политик приватных каналов и ключей, управляемых клиентом, создайте собственную учетную запись хранения для профилировщика и отладчика. Дополнительные сведения см. в разделе /azure/azure-monitor/app/profiler-bring-your-own-storage | Отрицать; Ревизия; Нетрудоспособный | 1.0.0 |
| Авторизованные диапазоны IP-адресов должны быть определены в службах Kubernetes | Ограничьте access API управления службами Kubernetes, предоставив API access только IP-адресам в определенных диапазонах. Рекомендуется ограничить access авторизованными диапазонами IP-адресов, чтобы убедиться, что только приложения из разрешенных сетей могут access кластере. | Ревизия; Нетрудоспособный | 2.0.1 |
| учетные записи Automation должны отключить access | Отключение общедоступной сети access повышает безопасность, гарантируя, что ресурс не предоставляется в общедоступном Интернете. Вместо этого можно ограничить воздействие ресурсов учетной записи службы автоматизации, создав частные конечные точки. Дополнительные сведения: Использовать Приватный канал Azure для безопасного подключения сетей к Cлужба автоматизации Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| служба Поиск с использованием ИИ Azure должна использовать номер SKU, поддерживающий приватный канал | С поддерживаемыми номерами SKU Поиск с использованием ИИ Azure Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с Search service риски утечки данных снижаются. Дополнительные сведения: Create частная конечная точка для безопасного подключения. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| службы Поиск с использованием ИИ Azure должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что служба Поиск с использованием ИИ Azure не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие Search service. Дополнительные сведения: Create частная конечная точка для безопасного подключения. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Azure ресурсы служб ИИ должны ограничить доступ к сети | Ограничив access сети, можно убедиться, что только разрешенные сети могут access службе. Это можно сделать, настроив правила сети, чтобы доступ к инструменту Microsoft Foundry могли получить только приложения из разрешенных сетей. | Ревизия; Отрицать; Нетрудоспособный | 3.3.0 |
| Azure ресурсы служб ИИ должны использовать Приватный канал Azure | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал снижает риски утечки данных путем обработки подключения между потребителем и службами через магистральную сеть Azure. Дополнительные сведения о частных ссылках см. в статье Несколько Приватный канал Azure? | Ревизия; Нетрудоспособный | 1.0.0 |
| Azure API для FHIR должен использовать приватный канал | Azure API для FHIR должен иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в virtual network могут безопасно access ресурсы, имеющие подключения к частной конечной точке через закрытые каналы. Дополнительные сведения см. в статье Configure Приватный канал для Службы Azure для работы с медицинскими данными. | Ревизия; Нетрудоспособный | 1.0.0 |
| Azure Arc Приватный канал Области следует настроить с частной конечной точкой | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с Azure Arc Приватный канал области снижается риск утечки данных. Дополнительные сведения о частных ссылках см. в статьях Использовать Приватный канал Azure для подключения серверов к Azure Arc с помощью частной конечной точки. | Ревизия; Нетрудоспособный | 1.0.0 |
| Azure Arc Приватный канал Области должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Azure Arc ресурсы не могут подключаться через общедоступный Интернет. Создание частных конечных точек может ограничить воздействие Azure Arc ресурсов. Дополнительные сведения: Использовать Приватный канал Azure для подключения серверов к Azure Arc с помощью частной конечной точки. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| кластеры kubernetes с поддержкой Azure Arc следует настроить с помощью области Azure Arc Приватный канал | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя серверы с Azure Arc областью Azure Arc Приватный канал, настроенной с частной конечной точкой, риски утечки данных сокращаются. Дополнительные сведения о частных ссылках см. в статьях Использовать Приватный канал Azure для подключения серверов к Azure Arc с помощью частной конечной точки. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| серверы с поддержкой Azure Arc должны быть настроены с Azure Arc Приватный канал областью | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя серверы с Azure Arc областью Azure Arc Приватный канал, настроенной с частной конечной точкой, риски утечки данных сокращаются. Дополнительные сведения о частных ссылках см. в статьях Использовать Приватный канал Azure для подключения серверов к Azure Arc с помощью частной конечной точки. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Аттестация Azure поставщики должны отключить доступ к общедоступной сети | Чтобы повысить безопасность службы Аттестация Azure, убедитесь, что она не предоставляется в общедоступном Интернете и доступна только из частной конечной точки. Отключите свойство access общедоступной сети, как описано в aka.ms/azureattestation. Этот параметр отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Это снижает риски утечки данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Кэш Azure для Redis Enterprise должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. При сопоставлении частных конечных точек с экземплярами Кэш Azure для Redis Enterprise риски утечки данных снижаются. Дополнительные сведения: Несколько Кэш Azure для Redis с Приватный канал Azure?. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Кэш Azure для Redis должен отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Кэш Azure для Redis не предоставляется в общедоступном Интернете. Вместо этого можно ограничить воздействие Кэш Azure для Redis, создав частные конечные точки. Дополнительные сведения: Несколько Кэш Azure для Redis с Приватный канал Azure?. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. При сопоставлении частных конечных точек с экземплярами Кэш Azure для Redis риски утечки данных снижаются. Дополнительные сведения: Несколько Кэш Azure для Redis с Приватный канал Azure?. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| группа контейнеров Azure экземпляра контейнеров должна развертываться в виртуальной сети. | Безопасное взаимодействие между контейнерами с помощью Azure виртуальных сетей. При указании виртуальной сети ресурсы в виртуальной сети могут безопасно и приватно взаимодействовать друг с другом. | Ревизия; Нетрудоспособный; Отрицать | 2.0.0 |
| Azure Cosmos DB учетные записи должны иметь правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить трафик из несанкционированных источников. Учетные записи, имеющие по крайней мере одно правило IP-адресов, определенное с включенным фильтром virtual network, считаются совместимыми. Учетные записи, отключающие общедоступные access, также считаются совместимыми. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| Azure Cosmos DB должен отключить доступ к общедоступной сети | Отключение общедоступной сети access повышает безопасность, гарантируя, что учетная запись CosmosDB не предоставляется в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных учетной записи Cosmos DB. Дополнительные сведения см. в разделе Блокирование доступа к общедоступной сети во время создания учетной записи Azure Cosmos DB. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| кластер Azure Data Explorer должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с кластером Azure Data Explorer риск утечки данных снижается. Дополнительные сведения о частных каналах см. в статьях Private конечных точек для Azure Data Explorer. | Ревизия; Нетрудоспособный | 1.0.0 |
| Azure Data Explorer должен использовать номер SKU, поддерживающий приватный канал | С поддерживаемыми номерами SKU Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с приложениями, вы можете снизить риски утечки данных. Дополнительные сведения о частных ссылках см. в разделе "Использование частных конечных точек для приложений". | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Фабрика данных Azure должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с Фабрика данных Azure риск утечки данных снижается. Дополнительные сведения о частных ссылках см. в статьях Приватный канал Azure для Фабрика данных Azure. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| кластеры Azure Databricks должны отключить общедоступный IP-адрес | Отключение общедоступного IP-адреса кластеров в рабочих областях Azure Databricks повышает безопасность, гарантируя, что кластеры не предоставляются в общедоступном Интернете. Дополнительные сведения: Безопасное подключение к кластеру. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Azure Databricks Рабочие области должны находиться в виртуальной сети | Azure виртуальные сети обеспечивают повышенную безопасность и изоляцию для рабочих областей Azure Databricks, а также подсетей, политик управления доступом и других функций для дальнейшего ограничения доступа. Дополнительные сведения: Deploy Azure Databricks в виртуальной сети Azure (внедрение виртуальных сетей). | Ревизия; Отрицать; Нетрудоспособный | 1.0.2 |
| Azure Databricks рабочие области должны быть SKU класса Premium, поддерживающие такие функции, как приватный канал, управляемый клиентом ключ для шифрования | Разрешить рабочую область Databricks с Sku premium, которую ваша организация может развернуть для поддержки таких функций, как Приватный канал, управляемый клиентом ключ для шифрования. Дополнительные сведения: Настройка внутреннего подключения к Azure Databricks. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Azure Databricks Рабочие области должны отключить доступ к общедоступной сети | Отключение общедоступной сети access повышает безопасность, гарантируя, что ресурс не предоставляется в общедоступном Интернете. Вместо этого можно управлять воздействием ресурсов, создавая частные конечные точки. Дополнительные сведения: Приватный канал Azure концепции. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Azure Databricks Рабочие области должны использовать приватный канал | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с Azure Databricks рабочими областями, вы можете снизить риски утечки данных. Дополнительные сведения о частных каналах см. в статьях Настройка внутреннего подключения к Azure Databricks. | Ревизия; Нетрудоспособный | 1.0.2 |
| Azure обновление устройства для учетных записей Центр Интернета вещей должно использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с Azure обновлением устройств для учетных записей Центр Интернета вещей, снижается риск утечки данных. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| домены Сетка событий Azure должны отключить доступ к общедоступной сети | Отключение общедоступной сети access повышает безопасность, гарантируя, что ресурс не предоставляется в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. Дополнительные сведения см. в разделе о настройке частных конечных точек для разделов или доменов. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| домены Сетка событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. Дополнительные сведения см. в разделе о настройке частных конечных точек для разделов или доменов. | Ревизия; Нетрудоспособный | 1.0.2 |
| Сетка событий Azure брокер MQTT должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с пространством имен Сетки событий вместо всей службы, вы также будете защищены от рисков утечки данных. Дополнительные сведения см. в разделе о настройке частных конечных точек для разделов или доменов. | Ревизия; Нетрудоспособный | 1.0.0 |
| Сетка событий Azure брокер пространства имен должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с пространством имен Сетки событий вместо всей службы, вы также будете защищены от рисков утечки данных. Дополнительные сведения см. в разделе о настройке частных конечных точек для разделов или доменов. | Ревизия; Нетрудоспособный | 1.0.0 |
| пространства имен Сетка событий Azure должны отключить доступ к общедоступной сети | Отключение общедоступной сети access повышает безопасность, гарантируя, что ресурс не предоставляется в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. Дополнительные сведения см. в разделе о настройке частных конечных точек для разделов или доменов. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| разделы Сетка событий Azure должны отключить доступ к общедоступной сети | Отключение общедоступной сети access повышает безопасность, гарантируя, что ресурс не предоставляется в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. Дополнительные сведения см. в разделе о настройке частных конечных точек для разделов или доменов. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| разделы Сетка событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. Дополнительные сведения см. в разделе о настройке частных конечных точек для разделов или доменов. | Ревизия; Нетрудоспособный | 1.0.2 |
| Синхронизация файлов Azure должен использовать приватный канал | Создание частной конечной точки для указанного ресурса службы синхронизации Storage позволяет обращаться к ресурсу службы синхронизации Storage из частного IP-адреса сети вашей организации, а не через общедоступную конечную точку, доступную в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| профили Azure Front Door должны использовать уровень Premium, поддерживающий управляемые правила WAF и приватный канал | Azure Front Door Premium поддерживает Azure управляемые правила WAF и приватную ссылку на поддерживаемые Azure источники. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Azure HDInsight должен использовать приватный канал | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с Azure HDInsight кластерами, можно снизить риски утечки данных. Дополнительные сведения о частных ссылках см. в статьях Enable Приватный канал в кластере Azure HDInsight. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Службы Azure для работы с медицинскими данными служба отмены идентификации должна отключить доступ к общедоступной сети | Отключение общедоступной сети access повышает безопасность, гарантируя, что ресурс не предоставляется в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. | Ревизия; Нетрудоспособный | 1.0.0 |
| Службы Azure для работы с медицинскими данными служба отмены идентификации должна использовать приватный канал | Службы Azure для работы с медицинскими данными служба отмены идентификации должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в virtual network могут безопасно access ресурсы, имеющие подключения к частной конечной точке через закрытые каналы. | Ревизия; Нетрудоспособный | 1.0.0 |
| Службы Azure для работы с медицинскими данными рабочая область должна использовать приватный канал | Рабочая область служб работоспособности должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в virtual network могут безопасно access ресурсы, имеющие подключения к частной конечной точке через закрытые каналы. Дополнительные сведения см. в статье Configure Приватный канал для Службы Azure для работы с медицинскими данными. | Ревизия; Нетрудоспособный | 1.0.0 |
| [предварительная версия]: Azure Key Vault управляемый HSM должен отключить доступ к общедоступной сети | Отключите доступ к общедоступной сети для управляемого устройства HSM Azure Key Vault, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. Дополнительные сведения: Доверенные службыAllow для access управляемого устройства HSM. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0-preview |
| [предварительная версия]: Azure Key Vault Управляемое устройство HSM должно использовать приватный канал | Приватный канал предоставляет способ подключения Azure Key Vault управляемого HSM к ресурсам Azure без отправки трафика через общедоступный Интернет. Private link обеспечивает защиту от кражи данных. Дополнительные сведения: Integrate Managed HSM с Приватный канал Azure | Ревизия; Нетрудоспособный | 1.0.0-preview |
| Azure Key Vault должен отключить доступ к общедоступной сети | Отключите access общедоступной сети для key vault, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. Дополнительные сведения: Integrate Key Vault с Приватный канал Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Azure Key Vault должен иметь брандмауэр или отключен доступ к общедоступной сети | Включите брандмауэр key vault, чтобы key vault по умолчанию недоступен для общедоступных IP-адресов или отключите access общедоступной сети для key vault, чтобы он не был доступен через общедоступный Интернет. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить access этих сетей. Дополнительные сведения: Network security for Azure Key Vault и Integrate Key Vault with Приватный канал Azure | Ревизия; Отрицать; Нетрудоспособный | 3.3.0 |
| Azure Хранилища ключей должны использовать приватный канал | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с key vault, можно снизить риски утечки данных. Дополнительные сведения о частных ссылках см. в статьях Integrate Key Vault с помощью Приватный канал Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.2.1 |
| Служба Azure Kubernetes частные кластеры должны быть включены | Включите функцию частного кластера для кластера Служба Azure Kubernetes, чтобы убедиться, что сетевой трафик между сервером API и пулами узлов остается только в частной сети. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Машинное обучение Azure и Ai Studio должны использовать режим разрешенной только утвержденной управляемой виртуальной сети | Изоляция управляемой виртуальной сети упрощает и автоматизирует конфигурацию сетевой изоляции со встроенной Машинное обучение Azure управляемой виртуальной сети на уровне рабочей области. Управляемая виртуальная сеть защищает управляемые Машинное обучение Azure ресурсы, такие как вычислительные экземпляры, вычислительные кластеры, бессерверные вычислительные ресурсы и управляемые сетевые конечные точки. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Машинное обучение Azure Вычисления должны находиться в виртуальной сети | Azure виртуальные сети обеспечивают повышенную безопасность и изоляцию для Машинное обучение Azure вычислительных кластеров и экземпляров, а также подсетей, политик управления доступом и других функций для дальнейшего ограничения доступа. Если вычислительная среда настроена с virtual network, она не является общедоступной и может быть доступна только из virtual machines и приложений в virtual network. | Ревизия; Нетрудоспособный | 1.0.1 |
| Машинное обучение Azure Рабочие области должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Машинное обучение рабочие области не предоставляются в общедоступном Интернете. Вместо этого можно управлять доступом к рабочим областям, создавая частные конечные точки. Дополнительные сведения см. в разделе Configure частной конечной точки для рабочей области Машинное обучение Azure. | Ревизия; Отрицать; Нетрудоспособный | 2.0.1 |
| Машинное обучение Azure рабочие области должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с Машинное обучение Azure рабочих областей риски утечки данных снижаются. Дополнительные сведения о частных ссылках см. в разделе Configure частной конечной точки для рабочей области Машинное обучение Azure. | Ревизия; Нетрудоспособный | 1.0.0 |
| Управление Azure для Grafana рабочие области должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Управление Azure для Grafana рабочая область не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие рабочих областей. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Управление Azure для Grafana рабочие области должны использовать приватный канал | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с Managed Grafana, вы можете снизить риски утечки данных. | Ревизия; Нетрудоспособный | 1.0.1 |
| Azure Monitor Приватный канал Область должна блокировать доступ к ресурсам, не private link | Приватный канал Azure позволяет подключать виртуальные сети к ресурсам Azure через частную конечную точку к области Azure Monitor Приватный канал (AMPLS). Приватный канал режимы доступа задаются в AMPLS для контроля того, могут ли прием и запросы от ваших сетей достичь всех ресурсов или только Приватный канал ресурсов (чтобы предотвратить утечку данных). Дополнительные сведения о частных каналах см. в статьях: Приватный канал Azure режимы доступа (только для частных и открытых). | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| область Azure Monitor Приватный канал должна использовать private link | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с Azure Monitor областью приватных каналов, можно снизить риски утечки данных. Дополнительные сведения о частных каналах см. в статьях Use Приватный канал Azure для подключения сетей к Azure Monitor. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure учетные записи Purview должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с учетными записями Azure Purview вместо всей службы, вы также будете защищены от рисков утечки данных. Дополнительные сведения см. в разделе Использовать частные конечные точки на классическом портале управления Microsoft Purview. | Ревизия; Нетрудоспособный | 1.0.0 |
| [Предварительная версия]: хранилища служб восстановления Azure должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что хранилище служб восстановления не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие хранилища служб восстановления. Узнать больше по адресу: https://aka.ms/AB-PublicNetworkAccess-Deny. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0-preview |
| [предварительная версия]: хранилища служб восстановления Azure должны использовать приватный канал для резервного копирования | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с хранилищами служб восстановления Azure риски утечки данных снижаются. Дополнительные сведения о частных ссылках см. в статьях Create и использовании частных конечных точек для Azure Backup. | Ревизия; Нетрудоспособный | 2.0.0-preview |
| пространства имен Служебная шина Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с служебная шина пространствами имен риски утечки данных снижаются. Дополнительные сведения: Allow доступ к пространствам имен Служебная шина Azure через частные конечные точки. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Служба Azure SignalR должен отключить доступ к общедоступной сети | Чтобы повысить безопасность ресурса Служба Azure SignalR, убедитесь, что он не предоставляется в общедоступном Интернете и может быть доступ только из частной конечной точки. Отключите свойство access общедоступной сети, как описано в разделе Configure network access control. Этот параметр отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Это снижает риски утечки данных. | Ревизия; Отрицать; Нетрудоспособный | 1.2.0 |
| Служба Azure SignalR должен использовать номер SKU с поддержкой Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении, которые защищают ресурсы от рисков утечки общедоступных данных. Политика ограничивает номера SKU с поддержкой Приватный канал для Служба Azure SignalR. Узнайте больше о private link: Использовать частные конечные точки. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Служба Azure SignalR должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с ресурсом Служба Azure SignalR вместо всей службы, вы уменьшите риски утечки данных. Дополнительные сведения о закрытых ссылках см. в этой строке: использование частных конечных точек. | Ревизия; Нетрудоспособный | 1.0.0 |
| Azure Spring Cloud следует использовать внедрение сети | Azure экземпляры Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Разрешить Azure Spring Cloud взаимодействовать с системами в локальных центрах обработки данных или Azure службе в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящий и исходящий сетевой обмен данными для Azure Spring Cloud. | Ревизия; Нетрудоспособный; Отрицать | 1.2.0 |
| Azure SQL Управляемые экземпляры должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети (общедоступная конечная точка) в Azure SQL управляемых экземпляров повышает безопасность, обеспечивая доступ только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о общедоступной сети access см. в Настройка общедоступной конечной точки. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Azure Synapse рабочие области должны разрешать исходящий трафик данных только для утвержденных целевых объектов | Увеличьте безопасность рабочей области Synapse, разрешая исходящий трафик данных только утвержденным целевым объектам. Это помогает предотвратить кражу данных путем проверки целевого объекта перед отправкой данных. | Ревизия; Нетрудоспособный; Отрицать | 1.0.0 |
| Azure Synapse рабочие области должны отключить доступ к общедоступной сети | Отключение общедоступной сети access повышает безопасность, гарантируя, что рабочая область Synapse не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие рабочих областей Synapse. Дополнительные сведения см. в разделе Azure Synapse Analytics параметры подключения. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с Azure Synapse рабочей области риски утечки данных снижаются. Дополнительные сведения о частных ссылках см. в разделе Connect to your Azure Synapse workspace using private links. | Ревизия; Нетрудоспособный | 1.0.1 |
| Виртуальный рабочий стол Azure hostpools должен отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность и обеспечивает безопасность данных, гарантируя, что доступ к службе Виртуальный рабочий стол Azure не предоставляется в общедоступном Интернете. Дополнительные сведения: Set up Приватный канал with Виртуальный рабочий стол Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Виртуальный рабочий стол Azure hostpools должен отключить доступ к общедоступной сети только на узлах сеансов | Отключение доступа к общедоступной сети для узлов сеансов Виртуальный рабочий стол Azure hostpool, но разрешение общедоступного доступа для конечных пользователей повышает безопасность путем ограничения воздействия на общедоступный Интернет. Дополнительные сведения: Set up Приватный канал with Виртуальный рабочий стол Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| служба Виртуальный рабочий стол Azure должна использовать приватный канал | Использование Приватный канал Azure с ресурсами Виртуальный рабочий стол Azure может повысить безопасность и обеспечить безопасность данных. Дополнительные сведения о частных ссылках см. в статьях Set up Приватный канал with Виртуальный рабочий стол Azure. | Ревизия; Нетрудоспособный | 1.0.0 |
| Виртуальный рабочий стол Azure рабочие области должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети для ресурса рабочей области Виртуальный рабочий стол Azure запрещает доступ веб-канала через общедоступный Интернет. Разрешение только частной сети access повышает безопасность и обеспечивает безопасность данных. Дополнительные сведения: Set up Приватный канал with Виртуальный рабочий стол Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| служба Azure Web PubSub должна отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что служба Azure Web PubSub не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие службы Azure Web PubSub. Дополнительные сведения: Azure Web PubSub управление доступом к сети. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Служба Azure Web PubSub должна использовать номер SKU, поддерживающий приватный канал | С поддерживаемым номером SKU Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с Azure Web PubSub службой, можно снизить риски утечки данных. Дополнительные сведения о частных каналах см. в статьях Azure Web PubSub частная конечная точка службы. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со службой Azure Web PubSub, вы можете снизить риски утечки данных. Дополнительные сведения о частных каналах см. в статьях Azure Web PubSub частная конечная точка службы. | Ревизия; Нетрудоспособный | 1.0.0 |
| Служба Bot должен иметь изолированный режим | Боты должны иметь значение "изолированный только" режим. Этот параметр настраивает Служба Bot каналы, требующие отключения трафика через общедоступный Интернет. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| Служба Bot должен иметь доступ к общедоступной сети отключен | Боты должны иметь значение "изолированный только" режим. Этот параметр настраивает Служба Bot каналы, требующие отключения трафика через общедоступный Интернет. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| ресурсы BotService должны использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с ресурсом BotService риски утечки данных снижаются. | Ревизия; Нетрудоспособный | 1.0.0 |
| Среды приложения-контейнеры должны использовать внедрение сети | Среды контейнерных приложений должны использовать внедрение виртуальной сети: 1.Изолировать контейнерные приложения из общедоступного Интернета 2.Включить интеграцию сети с ресурсами локальной или в других Azure виртуальных сетях 3.Добиться более детального управления сетевым трафиком, передаваемым в среду и из нее. | Ревизия; Нетрудоспособный; Отрицать | 1.0.2 |
| среда Container Apps должна отключить access | Отключите общедоступную сеть access для повышения безопасности путем предоставления среды приложений-контейнеров через внутреннюю load balancer. Это удаляет необходимость в общедоступном IP-адресе и предотвращает access Интернета для всех приложений контейнеров в среде. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Приложения-контейнеры должны отключить доступ к внешней сети | Отключите внешний сетевой доступ к приложениям-контейнерам, применяя внутренние входящий трафик только для сети. Это обеспечит входящий обмен данными для контейнерных приложений, ограниченных вызывающими элементами в среде "Приложения контейнеров". | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| реестры Container должны иметь номера SKU, поддерживающие частные ссылки | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с реестрами контейнеров вместо всей службы риски утечки данных снижаются. Дополнительные сведения: Set up Private Endpoint with Приватный канал for ACR. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| реестры Container не должны разрешать неограниченные сетевые access | Azure реестры контейнеров по умолчанию принимают подключения через Интернет от узлов в любой сети. Чтобы защитить реестры от потенциальных угроз, разрешите access только из определенных частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров: Set up Private Endpoint with Приватный канал for ACR, Configure Public Registry Access in Azure and Restrict Access to Реестр контейнеров Azure Using Service Endpoints. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| реестры Container должны использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с реестрами контейнеров вместо всей службы, вы также будете защищены от рисков утечки данных. Дополнительные сведения: Set up Private Endpoint with Приватный канал for ACR. | Ревизия; Нетрудоспособный | 1.0.1 |
| [Предварительная версия]. Реестр контейнеров должен использовать конечную точку службы для виртуальной сети | Эта политика выполняет аудит всех реестров контейнеров, не настроенных для использования конечной точки службы виртуальной сети. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| Служба Cosmos DB должна использовать конечную точку службы виртуальной сети | Эта политика проверяет любой Cosmos DB, который не настроен на использование конечной точки службы виртуальной сети. | Ревизия; Нетрудоспособный | 1.0.0 |
| учетные записи CosmosDB должны использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о частных ссылках см. в разделе Configure Приватный канал Azure для учетной записи Azure Cosmos DB. | Ревизия; Нетрудоспособный | 1.0.0 |
| ресурсы Disk access должны использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о частных ссылках см. в статьях Restrict import/export access в managed disks. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| ElasticSan должен отключить access | Отключите общедоступную сеть access для ElasticSan, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Пространства имен КонцентратораEvent должны отключить access | Azure концентратору событий должен быть отключен доступ к общедоступной сети. Отключение общедоступной сети access повышает безопасность, гарантируя, что ресурс не предоставляется в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. Дополнительные сведения: Allow доступ к пространствам имен Центры событий Azure через частные конечные точки | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| пространства имен Event Hub должны использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. Дополнительные сведения: Allow доступ к пространствам имен Центры событий Azure через частные конечные точки. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Концентратор событий должен использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех концентраторов событий, не настроенных на использование конечной точки службы виртуальной сети. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Function слоты приложений должны отключить общедоступную сеть access | Отключение общедоступной сети access повышает безопасность, гарантируя, что приложение-функция не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить доступность функционального приложения. Дополнительные сведения см. в разделе "Использование частных конечных точек для приложений". | Ревизия; Нетрудоспособный; Отрицать | 1.1.0 |
| приложения Function должны отключить общедоступную сеть access | Отключение общедоступной сети access повышает безопасность, гарантируя, что приложение-функция не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить доступность функционального приложения. Дополнительные сведения см. в разделе "Использование частных конечных точек для приложений". | Ревизия; Нетрудоспособный; Отрицать | 1.1.0 |
| IoT Central должен использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с приложением IoT Central вместо всей службы, вы уменьшите риски утечки данных. Дополнительные сведения о частных каналах см. в разделе "Безопасность сети" с помощью частных конечных точек в IoT Central. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Центр Интернета вещей экземпляры службы подготовки устройств должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что экземпляр службы подготовки устройств Центр Интернета вещей не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие экземпляров подготовки устройств Центр Интернета вещей. Дополнительные сведения: Virtual network подключения для DPS. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Центр Интернета вещей экземпляры службы подготовки устройств должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой подготовки устройств Центр Интернета вещей риски утечки данных снижаются. Дополнительные сведения о частных каналах см. в статьях Virtual network подключения для DPS. | Ревизия; Нетрудоспособный | 1.0.0 |
| Правила брандмауэра для IP-адресов в рабочих областях Azure Synapse должны быть удалены | Удаление всех правил брандмауэра IP-адресов повышает безопасность, обеспечивая доступ к рабочей области Azure Synapse только из частной конечной точки. Эта конфигурация проверяет создание правил брандмауэра, разрешающих доступ к общедоступной сети в рабочей области. | Ревизия; Нетрудоспособный | 1.0.0 |
| Key Vault должен использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит любых Key Vault, не настроенных для использования конечной точки службы виртуальной сети. | Ревизия; Нетрудоспособный | 1.0.0 |
| Log Analytics рабочие области должны блокировать прием журналов и запросы из общедоступных сетей | Повышение безопасности рабочей области путем блокировки приема журналов и запроса из общедоступных сетей. Только сети, подключенные через приватный канал, смогут получать и запрашивать журналы в этом рабочем пространстве. Дополнительные сведения см. в Use Приватный канал Azure для подключения сетей к Azure Monitor. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 1.1.0 |
| Managed disks должен отключить access | Отключение общедоступной сети access повышает безопасность, гарантируя, что управляемый диск не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие managed disks. Дополнительные сведения: Restrict import/export access в managed disks. | Ревизия; Отрицать; Нетрудоспособный | 2.1.0 |
| Виртуальная сеть управляемой рабочей области в Azure Synapse рабочих областях должна быть включена | Включение виртуальной сети управляемой рабочей области гарантирует, что ваша рабочая область изолирована от других рабочих областей. Интеграция данных и ресурсы Spark, развернутые в этой виртуальной сети, также обеспечивают изоляцию на уровне пользователя для действий Spark. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Сервер MariaDB должен использовать конечную точку службы виртуальной сети | Правила брандмауэра на основе виртуальной сети используются для включения трафика из определенной подсети в База данных Azure для MariaDB при обеспечении того, что трафик остается в пределах границы Azure. Эта политика предоставляет способ аудита, если База данных Azure для MariaDB использует конечную точку службы виртуальной сети. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Сервер MySQL должен использовать конечную точку службы виртуальной сети | Правила брандмауэра на основе виртуальной сети используются для включения трафика из определенной подсети в База данных Azure для MySQL при обеспечении того, что трафик остается в пределах границы Azure. Эта политика предоставляет способ аудита, если База данных Azure для MySQL использует конечную точку службы виртуальной сети. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Сервер PostgreSQL должен использовать конечную точку службы виртуальной сети | Правила брандмауэра на основе виртуальной сети используются для включения трафика из определенной подсети в База данных Azure для PostgreSQL при обеспечении того, что трафик остается в пределах границы Azure. Эта политика предоставляет способ аудита, если База данных Azure для PostgreSQL использует конечную точку службы виртуальной сети. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Подключения к частной конечной точке в учетных записях службы автоматизации должны быть включены | Подключения к частной конечной точке позволяют безопасно подключаться к учетным записям службы автоматизации без необходимости использовать общедоступные IP-адреса в источнике или назначении. Дополнительные сведения о частных конечных точках в Cлужба автоматизации Azure см. в разделе /Azure/automation/how-to/private-link-security | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| подключения конечных точек Private на База данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают безопасную связь путем включения частного подключения к База данных SQL Azure. | Ревизия; Нетрудоспособный | 1.1.0 |
| Подключения к частной конечной точке в учетных записях пакетной службы должны быть включены | Подключения частной конечной точки обеспечивают безопасный обмен данными для учетных записей пакетной службы в закрытом режиме без использования общедоступных IP-адресов в источнике и назначении. Дополнительные сведения о частных конечных точках в пакетной службе по адресу /azure/batch/private-connectivity. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Частная конечная точка должна быть включена для Центр Интернета вещей | Подключения к частной конечной точке обеспечивают безопасный обмен данными путем включения частного подключения к Центр Интернета вещей. Настройте подключение к частной конечной точке, чтобы обеспечить доступ к трафику, исходящему только из известных сетей, и запретить доступ ко всем другим IP-адресам, включая Azure. | Ревизия; Нетрудоспособный | 1.0.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы обеспечить доступ к трафику, исходящему только из известных сетей, и запретить доступ ко всем другим IP-адресам, включая Azure. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Конечная точка Private должна быть включена для серверов MySQL | Подключения к частной конечной точке обеспечивают безопасное взаимодействие путем включения частного подключения к База данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы обеспечить доступ к трафику, исходящему только из известных сетей, и запретить доступ ко всем другим IP-адресам, включая Azure. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Конечная точка Private должна быть включена для серверов PostgreSQL | Подключения к частной конечной точке обеспечивают безопасный обмен данными путем включения частного подключения к База данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы обеспечить доступ к трафику, исходящему только из известных сетей, и запретить доступ ко всем другим IP-адресам, включая Azure. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Доступ к сети для обновления устройств Azure для учетных записей Центр Интернета вещей следует отключить | Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к Azure обновлению устройств для учетных записей Центр Интернета вещей доступ только из частной конечной точки. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Доступ к сетиPublic в Azure Data Explorer должен быть отключен | Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к Azure Data Explorer только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие ПРАВИЛАМ брандмауэра на основе IP-адресов или virtual network. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Доступ к сети в Фабрика данных Azure должен быть отключен | Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к Фабрика данных Azure только из частной конечной точки. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Доступ к сети в Центр Интернета вещей Azure должен быть отключен | Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к Центр Интернета вещей Azure только из частной конечной точки. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Доступ к сетиPublic на База данных SQL Azure должен быть отключен | Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к База данных SQL Azure только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие ПРАВИЛАМ брандмауэра на основе IP-адресов или virtual network. | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| Доступ к сетиPublic должен быть отключен для Синхронизация файлов Azure | Отключение общедоступной конечной точки позволяет ограничить access ресурсом службы синхронизации Storage запросы, предназначенные для утвержденных частных конечных точек в сети вашей организации. Нет ничего принципиально опасного в разрешении запросов к общедоступной конечной точке, но вы можете отключить эту функцию, чтобы обеспечить соблюдение нормативных, юридических или организационных требований к политикам. Вы можете отключить общедоступную конечную точку для службы синхронизации Storage, задав для ресурса значение AllowVirtualNetworksOnly. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| сеть access public следует отключить для учетных записей пакетной службы | Отключение access общедоступной сети в учетной записи пакетной службы повышает безопасность, обеспечивая доступ к учетной записи пакетной службы только из частной конечной точки. Дополнительные сведения об отключении доступа к общедоступной сети см. в Использование частных конечных точек с помощью учетных записей пакетная служба Azure. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Сеть access Public следует отключить для реестров контейнеров | Отключение общедоступной сети access повышает безопасность, гарантируя, что реестры контейнеров не предоставляются в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие ресурсов реестра контейнеров. Дополнительные сведения см. в разделе Configure Public Registry Access in Azure and Set Up Private Endpoint with Приватный канал for ACR. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Сеть access Public следует отключить для IoT Central | Чтобы повысить безопасность IoT Central, убедитесь, что он не предоставляется в общедоступном Интернете и может быть доступ только из частной конечной точки. Отключите свойство доступа к общедоступной сети, как описано в Create частной конечной точки для Azure IoT Central. Этот параметр отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Это снижает риски утечки данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Для северов MariaDB должен быть отключен доступ через общедоступную сеть | Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для MariaDB можно получить доступ только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| Сеть access Public следует отключить для гибких серверов MySQL | Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к База данных Azure для MySQL гибким серверам только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Ревизия; Отрицать; Нетрудоспособный | 2.3.0 |
| Сеть access Public следует отключить для серверов MySQL | Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для MySQL доступ к ней можно получить только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| сеть access должны быть отключены для гибких серверов PostgreSQL | Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к База данных Azure для PostgreSQL гибким серверам только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов. | Ревизия; Отрицать; Нетрудоспособный | 3.1.0 |
| сеть access для серверов PostgreSQL следует отключить | Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для PostgreSQL доступ к ней можно получить только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Ревизия; Отрицать; Нетрудоспособный | 2.0.1 |
| [предварительная версия]: хранилища служб восстановления должны использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с хранилищами служб восстановления Azure риски утечки данных снижаются. Дополнительные сведения о частных каналах для Azure Site Recovery см. в статьях Enable для локальных компьютеров с частными конечными точками и Enable репликации для частных конечных точек в Azure Site Recovery. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| служебная шина Пространства имен должны отключить доступ к общедоступной сети | Служебная шина Azure должен отключено доступ к общедоступной сети. Отключение общедоступной сети access повышает безопасность, гарантируя, что ресурс не предоставляется в общедоступном Интернете. Вы можете ограничить уязвимость ресурсов, создав вместо этого частные конечные точки. Дополнительные сведения: Allow доступ к пространствам имен Служебная шина Azure через частные конечные точки | Ревизия; Отрицать; Нетрудоспособный | 1.1.0 |
| среда выполнения интеграции SQL Server Integration Services в Фабрика данных Azure должна быть присоединена к виртуальной сети | развертывание Azure Virtual Network обеспечивает повышенную безопасность и изоляцию для сред выполнения интеграции SQL Server Integration Services в Фабрика данных Azure, а также подсетей, политик управления доступом и других функций для дальнейшего ограничения доступа. | Ревизия; Отрицать; Нетрудоспособный | 2.3.0 |
| Служба SQL Server должна использовать конечную точку службы виртуальной сети | Эта политика проверяет любые SQL Server не настроены на использование конечной точки службы виртуальной сети. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Storage учетная запись общедоступного access должна быть запрещена | Анонимный общедоступный доступ на чтение к контейнерам и большим двоичным объектам в служба хранилища Azure — удобный способ совместного использования данных, но может представлять риски для безопасности. Чтобы предотвратить нарушения данных, вызванные нежелательным анонимным доступом, Microsoft рекомендует запретить общедоступный доступ к учетной записи хранения, если не требуется. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 3.1.1 |
| Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым не удается предоставить доступ через сетевые правила. Чтобы помочь этому типу службы работать должным образом, разрешите набор доверенных службы Майкрософт обойти сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| учетные записи Storage должны отключить access | Чтобы повысить безопасность учетных записей Storage, убедитесь, что они не предоставляются в общедоступном Интернете и могут быть доступны только из частной конечной точки. Отключите свойство access общедоступной сети, как описано в Storage учетной записи общедоступной сети access. Этот параметр отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Это снижает риски утечки данных. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| учетные записи Storage должны ограничивать сетевые access | Сетевые access для storage учетных записей должны быть ограничены. Настройте сетевые правила, чтобы только приложения из разрешенных сетей могли access учетной записи storage. Чтобы разрешить подключения от определенных интернет-клиентов или локальных клиентов, доступ можно предоставить трафику из определенных виртуальных сетей Azure или диапазонов общедоступных IP-адресов интернета. | Ревизия; Отрицать; Нетрудоспособный | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети только через конфигурацию обхода сетевого списка ACL. | Чтобы повысить безопасность учетных записей хранения, включите доступ только через обход сетевого списка ACL. Эта политика должна использоваться в сочетании с частной конечной точкой для доступа к учетной записи хранения. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Storage учетные записи должны ограничивать сетевые access с помощью правил virtual network | Защита учетных записей storage от потенциальных угроз с помощью правил virtual network в качестве предпочтительного метода вместо фильтрации на основе IP-адресов. Отключение фильтрации на основе IP-адресов запрещает общедоступным IP-адресам получать доступ к учетным записям storage. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Storage учетные записи должны ограничивать сетевые access с помощью правил virtual network (за исключением учетных записей storage, созданных Databricks) | Защита учетных записей storage от потенциальных угроз с помощью правил virtual network в качестве предпочтительного метода вместо фильтрации на основе IP-адресов. Отключение фильтрации на основе IP-адресов запрещает общедоступным IP-адресам получать доступ к учетным записям storage. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Учетная запись хранения должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. | Ревизия; Нетрудоспособный | 1.0.0 |
| учетные записи Storage должны использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью storage риски утечки данных снижаются. Дополнительные сведения о частных ссылках см. в статье Несколько Приватный канал Azure? | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| учетные записи Storage должны использовать private link (за исключением учетных записей storage, созданных Databricks) | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью storage риски утечки данных снижаются. Дополнительные сведения о частных ссылках см. в статье Несколько Приватный канал Azure? | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Управляемые частные конечные точки Synapse должны подключаться только к ресурсам в утвержденных клиентах Azure Active Directory | Защитите рабочую область Synapse, разрешая только подключения к ресурсам в утвержденных клиентах Azure Active Directory (Azure AD). Утвержденные Azure клиента AD можно определить во время назначения политики. | Ревизия; Нетрудоспособный; Отрицать | 1.0.0 |
| Шаблоны построителя образов VM должны использовать private link | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о частных каналах см. в разделе Azure сетевые параметры построителя образов виртуальных машин. Развертывание с помощью существующей виртуальной сети. | Ревизия; Нетрудоспособный; Отрицать | 1.1.0 |
NS-3: развертывание брандмауэра на границе корпоративной сети
Дополнительные сведения см. в статье "Безопасность сети: NS-3: развертывание брандмауэра на границе корпоративной сети".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| IP Пересылка на виртуальной машине должна быть отключена | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Management-порты virtual machines должны быть защищены с помощью JIT-сети access control | Возможный доступ к сети JIT будет отслеживаться Центр безопасности Azure в качестве рекомендаций | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| порты Management следует закрыть на virtual machines | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки пытаются выполнить подбор учетных данных, чтобы получить access администратора на компьютере. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| [предварительная версия]: весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | Центр безопасности Azure определил, что некоторые из подсетей не защищены брандмауэром следующего поколения. Защита подсетей от потенциальных угроз путем ограничения доступа к ним с помощью Брандмауэр Azure или поддерживаемого брандмауэра следующего поколения | AuditIfNotExists; Нетрудоспособный | 3.0.0-preview |
NS-5: развертывание защиты от атак DDoS
Дополнительные сведения см. в статье "Безопасность сети: NS-5: развертывание защиты от атак DDOS".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Azure защита от атак DDoS должна быть включена | Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью application gateway с общедоступным IP-адресом. | AuditIfNotExists; Нетрудоспособный | 3.0.1 |
| правило Enable Rate Limit для защиты от атак DDoS на Azure Front Door WAF | Правило ограничения скорости Брандмауэр веб-приложений Azure (WAF) для Azure Front Door определяет количество запросов, разрешенных с определенного IP-адреса клиента к приложению во время ограничения скорости. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Virtual сети должны быть защищены Azure защиты от атак DDoS | Защита виртуальных сетей от атак томных и протоколов с помощью защиты от атак DDoS Azure. Дополнительные сведения см. в Azure обзор защиты от атак DDoS. | Модифицировать; Ревизия; Нетрудоспособный | 1.0.1 |
NS-6. Развертывание web application firewall
Дополнительные сведения см. в разделе Network Security: NS-6. Развертывание web application firewall.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| В Azure Front Door Standard или Premium (плюс WAF) должны быть включены журналы ресурсов. | Включите журналы ресурсов для Azure Front Door категории "Стандартный" или "Премиум" (плюс WAF) и потоковую передачу в рабочую область Log Analytics. Получите подробные сведения о входящего веб-трафика и действиях, принятых для устранения атак. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Брандмауэр веб-приложений Azure Шлюз приложений Azure должен иметь включена проверка тела запроса | Убедитесь, что брандмауэры веб-приложений, связанные с шлюзами приложение Azure, имеют включенную проверку текста запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Брандмауэр веб-приложений Azure Azure Front Door должен иметь включена проверка тела запроса | Убедитесь, что брандмауэры веб-приложений, связанные с Azure Front Door, имеют включенную проверку текста запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Брандмауэр веб-приложений Azure следует включить для Azure Front Door точек входа | Разверните Брандмауэр веб-приложений Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложений (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, таких как внедрение SQL, межсайтовый скрипт, выполнение локальных и удаленных файлов. Вы также можете ограничить access веб-приложениями по странам или регионам, диапазонам IP-адресов и другим параметрам http(s) с помощью пользовательских правил. | Ревизия; Отрицать; Нетрудоспособный | 1.0.2 |
| правило Enable Rate Limit для защиты от атак DDoS на Azure Front Door WAF | Правило ограничения скорости Брандмауэр веб-приложений Azure (WAF) для Azure Front Door определяет количество запросов, разрешенных с определенного IP-адреса клиента к приложению во время ограничения скорости. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Миграция WAF из WAF Config в политику WAF на Шлюз приложений | Если у вас есть конфигурация WAF вместо политики WAF, может потребоваться перейти к новой политике WAF. В дальнейшем политика брандмауэра будет поддерживать параметры политики WAF, управляемые наборы правил, исключения и отключенные группы правил. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Брандмауэр веб-приложений (WAF) следует включить для шлюза приложений | Разверните Брандмауэр веб-приложений Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложений (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, таких как внедрение SQL, межсайтовый скрипт, выполнение локальных и удаленных файлов. Вы также можете ограничить access веб-приложениями по странам или регионам, диапазонам IP-адресов и другим параметрам http(s) с помощью пользовательских правил. | Ревизия; Отрицать; Нетрудоспособный | 2.0.0 |
| Брандмауэр веб-приложений (WAF) должен использовать указанный режим для шлюза приложений | Предписывает использовать режим "Обнаружение" или "Предотвращение" для всех политик Брандмауэр веб-приложений для шлюза приложений. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Брандмауэр веб-приложений (WAF) должен использовать указанный режим для Azure Front Door Service | Предписывает использовать режим "Обнаружение" или "Предотвращение" для всех политик Брандмауэр веб-приложений для Azure Front Door Service. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
NS-8. Обнаружение и отключение небезопасных служб и протоколов
Дополнительные сведения см. в статье "Безопасность сети: NS-8: обнаружение и отключение небезопасных служб и протоколов".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| приложения App Service должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений App Service, чтобы воспользоваться преимуществами исправлений безопасности( если таковые имеются) и (или) новых функций последней версии. | AuditIfNotExists; Нетрудоспособный | 2.2.0 |
| Azure VPN-шлюзы не должны использовать SKU "basic" | Эта политика гарантирует, что шлюзы VPN не будут использовать SKU уровня "Базовый". | Ревизия; Нетрудоспособный | 1.0.0 |
| приложения Function должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists; Нетрудоспособный | 2.3.0 |
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Дополнительные сведения см. в разделе Privileged Access: PA-1. Разделение и ограничение пользователей с высоким уровнем привилегий и административных прав.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| A не более 3 владельцев должны быть назначены для подписки | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Блокированные учетные записи с разрешениями владельца на ресурсы Azure должны быть удалены | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Guest с разрешениями владельца на Azure ресурсы следует удалить | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неуправляемые access. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| [предварительная версия]. Для хранилищ служб восстановления необходимо включить многопользовательскую авторизацию (MUA). | Эта политика проверяет, включена ли многопользовательская авторизация (MUA) для хранилищ служб восстановления. MUA помогает защитить хранилища служб восстановления, добавив дополнительный уровень защиты в критически важные операции. Дополнительные сведения см. по адресу https://aka.ms/MUAforRSV. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| There должно быть несколькими владельцами, назначенными вашей подписке | Рекомендуется назначить более одного владельца подписки, чтобы иметь access избыточности администратора. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
PA-2. Избегайте access для учетных записей пользователей и разрешений
Дополнительные сведения см. в статье Privileged Access: PA-2. Избегайте access для учетных записей пользователей и разрешений.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Management-порты virtual machines должны быть защищены с помощью JIT-сети access control | Возможный доступ к сети JIT будет отслеживаться Центр безопасности Azure в качестве рекомендаций | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
PA-4: регулярно просматривайте и согласовывайте access пользователей
Дополнительные сведения см. в статье Privileged Access: PA-4: регулярно просматривайте и согласовывайте access пользователей.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Блокированные учетные записи с разрешениями владельца на ресурсы Azure должны быть удалены | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Блокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Guest с разрешениями владельца на Azure ресурсы следует удалить | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неуправляемые access. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| учетные записи Guest с разрешениями на чтение ресурсов Azure следует удалить | Внешние учетные записи с правами чтения должны быть удалены из подписки, чтобы предотвратить неуправляемые access. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| учетные записи Guest с разрешениями на запись для ресурсов Azure следует удалить | Внешние учетные записи с правами записи должны быть удалены из подписки, чтобы предотвратить неуправляемые access. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Дополнительные сведения см. в разделе Привилегированные Access: PA-7: выполните достаточное количество принципов администрирования.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Из пространства имен Центра событий должны быть удалены все правила авторизации за исключением RootManageSharedAccessKey | Клиентам концентратора событий не следует использовать политику доступа на уровне пространства имен, которая предоставляет доступ ко всем очередям и разделам в пространстве имен. Для соответствия модели безопасности с наименьшими правами создавайте политики доступа к очередям и разделам на уровне сущности, чтобы предоставлять доступ только к конкретной сущности. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| All правила авторизации, кроме RootManageSharedAccessKey, следует удалить из пространства имен служебная шина | служебная шина клиенты не должны использовать политику доступа на уровне пространства имен, которая предоставляет доступ ко всем очередям и темам в пространстве имен. Для соответствия модели безопасности с наименьшими правами создавайте политики доступа к очередям и разделам на уровне сущности, чтобы предоставлять доступ только к конкретной сущности. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| API Management подписки не должны быть ограничены всеми API | API Management подписки должны быть ограничены продуктом или отдельным API вместо всех API, что может привести к чрезмерному воздействию данных. | Ревизия; Нетрудоспособный; Отрицать | 1.1.0 |
| Audit использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Ревизия; Нетрудоспособный | 1.0.1 |
| Необходимо определить правила авторизации в экземпляре концентратора событий | Аудит наличия правил авторизации для предоставления доступа с наименьшими правами в сущностях концентратора событий | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Azure Key Vault должен использовать модель разрешений RBAC | Включите модель разрешений RBAC в хранилищах ключей. Дополнительные сведения см. в разделе Migrate из политики доступа к хранилищ Azure у в модель разрешений на основе ролей | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| кластеры Служба Azure Kubernetes должны отключить командный вызов | Отключение вызова команды может повысить безопасность путем избегания обхода ограниченного сетевого доступа или управления доступом на основе ролей Kubernetes | Ревизия; Нетрудоспособный | 1.0.1 |
| Кластеры Kubernetes должны убедиться, что роль администратора кластера используется только при необходимости. | Роль "cluster-admin" предоставляет широкие возможности по сравнению с средой и должна использоваться только там, где и когда это необходимо. | Ревизия; Нетрудоспособный | 1.1.0 |
| Кластеры Kubernetes должны свести к минимуму использование подстановочных знаков в роли и роли кластера | Использование подстановочных знаков "*" может быть угрозой безопасности, так как предоставляет широкие разрешения, которые могут не потребоваться для определенной роли. Если у роли слишком много разрешений, возможно, злоумышленник или скомпрометированный пользователь может получить несанкционированный доступ к ресурсам в кластере. | Ревизия; Нетрудоспособный | 1.1.0 |
| Role-Based контроль доступа (RBAC) следует использовать в службах Kubernetes | Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте Role-Based контроль доступа (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройки соответствующих политик авторизации. | Ревизия; Нетрудоспособный | 1.1.0 |
PV-2: проведение аудита и реализация конфигураций безопасности
Дополнительные сведения см. в статье "Управление безопасностью и уязвимостью: PV-2: аудит и применение безопасных конфигураций".
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| [Предварительная версия]: [Целостность изображений] Кластеры Kubernetes должны использовать только изображения, подписанные нотацией | Используйте образы, подписанные нотацией, чтобы гарантировать, что образы приходят из доверенных источников и не будут вредоносным образом изменены. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-integrity. | Ревизия; Нетрудоспособный | 1.1.0 (предварительная версия) |
| API Management конечная точка прямого управления не должна быть включена | REST API прямого управления в Azure API Management проходит Azure Resource Manager механизмы управления доступом на основе ролей, авторизации и регулирования, что повышает уязвимость службы. | Ревизия; Нетрудоспособный; Отрицать | 1.0.2 |
| Слоты приложений службы приложений должны быть отключены для удаленной отладки | Для удаленной отладки требуется открыть входящие порты в приложении App Service. Удаленную отладку необходимо отключить. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| Слоты приложений в службе приложений не должны быть настроены с использованием CORS таким образом, чтобы каждый ресурс мог получить доступ к вашим приложениям | Совместное использование ресурсов между источниками (CORS) не должно разрешать access приложения всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Слоты приложений в службе приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Для веб-приложений рекомендуется использовать последнюю версию HTTP, чтобы воспользоваться исправлениями безопасности, если таковые имеются, и/или новыми функциями новой версии. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Слоты приложений службы App Service, использующие PHP, должны использовать указанную версию PHP. | Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы воспользоваться исправлениями безопасности (если таковые имеются) и/или новыми функциональными возможностями последней версии, для приложений Службы приложений рекомендуется использовать последнюю версию PHP. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию PHP, которая соответствует вашим требованиям. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Слоты приложения App Service, использующие Python, должны использовать указанную версию Python. | Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Рекомендуется использовать последнюю версию Python для приложений Службы приложений, чтобы воспользоваться возможными исправлениями безопасности и новыми функциями последней версии. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| App Service приложения должны иметь сертификаты клиента (входящие сертификаты клиента), включенные | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| App Service приложения должны отключать удаленную отладку | Для удаленной отладки требуется открыть входящие порты в приложении App Service. Удаленную отладку необходимо отключить. | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| App Service приложения не должны настраивать CORS, чтобы разрешить каждому ресурсу access приложения | Совместное использование ресурсов между источниками (CORS) не должно разрешать access приложения всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Для веб-приложений рекомендуется использовать последнюю версию HTTP, чтобы воспользоваться исправлениями безопасности, если таковые имеются, и/или новыми функциями новой версии. | AuditIfNotExists; Нетрудоспособный | 4.0.0 |
| Приложения службы приложений, использующие Java, должны использовать указанную версию Java. | Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Использовать последнюю версию Java для приложений Служба приложений рекомендуется, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новых функциональных возможностей последней версии. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. | AuditIfNotExists; Нетрудоспособный | 3.1.0 |
| Приложения службы App Service, использующие PHP, должны использовать указанную версию PHP. | Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы воспользоваться исправлениями безопасности (если таковые имеются) и/или новыми функциональными возможностями последней версии, для приложений Службы приложений рекомендуется использовать последнюю версию PHP. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию PHP, которая соответствует вашим требованиям. | AuditIfNotExists; Нетрудоспособный | 3.2.0 |
| Приложения службы приложений, которые используют Python, должны использовать указанную версию Python. | Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Рекомендуется использовать последнюю версию Python для приложений Службы приложений, чтобы воспользоваться возможными исправлениями безопасности и новыми функциями последней версии. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. | AuditIfNotExists; Нетрудоспособный | 4.1.0 |
| [предварительная версия]: назначение профиля конфигурации автоуправляемого управления должно соответствовать требованиям | Ресурсы, управляемые automanage, должны иметь состояние "Соответствие" или "Соответствие". | AuditIfNotExists; Нетрудоспособный | 1.0.0-preview |
| версия платформы Azure API Management должна быть stv2 | Azure API Management версия вычислительной платформы stv1 будет прекращена с 31 августа 2024 года, и эти экземпляры должны быть перенесены на платформу вычислений stv2 для продолжения поддержки. Дополнительные сведения см. в API Management stv1— глобальное облако Azure (август 2024 г.) | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure установлено | Расширение Политика Azure для Azure Arc обеспечивает горизонтальное применение и защиту кластеров Kubernetes с поддержкой Arc в централизованном и согласованном режиме. Дополнительные сведения см. в Understand Политика Azure для кластеров Kubernetes. | AuditIfNotExists; Нетрудоспособный | 1.1.0 |
| Фабрика данных Azure должен использовать репозиторий Git для управления версиями | Настройте интеграцию Git только для своей фабрики данных для разработки. Изменения в тестовой и рабочей среде должны быть развернуты с помощью CI/CD и не должны иметь интеграцию Git. Не применяйте эту политику к фабрикам данных QA/ Test/ Production. | Ревизия; Отрицать; Нетрудоспособный | 1.0.1 |
| Экземпляр Вычислительной среды Машинного обучения Azure должен завершать работу в режиме простоя. | Расписание завершения работы в режиме простоя позволяет сократить затраты за счет завершения работы вычислений, находящихся в режиме простоя после заранее определенного периода действия. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Машинное обучение Azure вычислительные экземпляры необходимо повторно создать, чтобы получить последние обновления программного обеспечения | Убедитесь, что Машинное обучение Azure вычислительные экземпляры выполняются в последней доступной операционной системе. Безопасность улучшается, а уязвимости сокращаются за счет выполнения последних исправлений безопасности. Дополнительные сведения см. на странице https://aka.ms/azureml-ci-updates/. | Ревизия; Нетрудоспособный | 1.0.3 |
| Рабочие области машинного обучения Azure должны включить V1LegacyMode для поддержки обратной совместимости сетевой изоляции | Служба "Машинное обучение Azure" переводится на новую платформу API версии 2 в Azure Resource Manager, и вы можете управлять версией платформы API с помощью параметра V1LegacyMode. Включение параметра V1LegacyMode позволит сохранить рабочие области в сетевой изоляции версии 1, хотя вы не сможете использовать новые функции версии 2. Мы рекомендуем включать устаревший режим версии 1 только в том случае, если нужно сохранить данные уровня управления AzureML в частных сетях. Узнать больше по адресу: https://aka.ms/V1LegacyMode. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Политика Azure надстройка для службы Kubernetes (AKS) должна быть установлена и включена в кластерах | Политика Azure надстройка для службы Kubernetes (AKS) расширяет шлюз версии 3, веб-перехватчик контроллера допуска для агента open Policy Agent (OPA), чтобы применять масштабируемые принудительное применение и защиту в кластерах централизованно, согласованно. | Ревизия; Нетрудоспособный | 1.0.2 |
| [предварительная версия]: на виртуальных машинах должна быть включена диагностика загрузки | Azure виртуальные машины должны иметь включенные диагниостики загрузки. | Ревизия; Нетрудоспособный | 1.0.0-preview |
| Не удается изменить отдельные узлы | Не удается изменить отдельные узлы. Пользователи не должны изменять отдельные узлы. Измените пулы узлов. Изменение отдельных узлов может привести к несогласованным параметрам, операционным проблемам и потенциальным рискам безопасности. | Ревизия; Отрицать; Нетрудоспособный | 1.3.1 |
| Регулирование подключений должно быть включено для серверов баз данных PostgreSQL | Эта политика помогает проверять все базы данных PostgreSQL в вашей среде без включения регулирования подключений. Этот параметр позволяет регулировать временное подключение для КАЖДОГО IP-адреса для слишком большого количества ошибок входа в пароль. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Реестры контейнеров должны иметь отключенные экспорты | Отключение экспорта повышает безопасность, обеспечивая доступ к данным в реестре исключительно через план данных (docker pull). Данные не могут быть перемещены из реестра с помощью команды 'acr import' или 'acr transfer'. Чтобы отключить экспорт, необходимо отключить доступ к общедоступной сети. Узнать больше по адресу: https://aka.ms/acr/export-policy. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Убедитесь, что в контейнерах кластера настроены пробы проверки готовности или активности | Эта политика обеспечивает настройку всех проб готовности и (или) активности для всех модулей pod. Пробы могут иметь тип tcpSocket, httpGet или exec. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | Ревизия; Отрицать; Нетрудоспособный | 3.3.0 |
| Слоты приложений-функций должны отключать удаленную отладку | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists; Нетрудоспособный | 1.1.0 |
| В слотах приложений-функций настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Совместное использование ресурсов между источниками (CORS) не должно разрешать всем доменам access приложение-функцию. Разрешите взаимодействие с функциональным приложением только необходимым доменам. | AuditIfNotExists; Нетрудоспособный | 1.1.0 |
| Слоты приложений-функций должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Для веб-приложений рекомендуется использовать последнюю версию HTTP, чтобы воспользоваться исправлениями безопасности, если таковые имеются, и/или новыми функциями новой версии. | AuditIfNotExists; Нетрудоспособный | 1.1.0 |
| Слоты приложений-функций, использующие Java, должны использовать указанную версию Java. | Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Рекомендуется использовать последнюю версию Java для приложений-функций, чтобы воспользоваться исправлениями безопасности, если таковые имеются, и новыми функциональными возможностями. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Function приложения должны иметь сертификаты клиента (входящие сертификаты клиента), включенные | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists; Нетрудоспособный | 1.1.0 |
| Function приложения должны отключать удаленную отладку | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists; Нетрудоспособный | 2.1.0 |
| приложения Function не должны иметь CORS, чтобы разрешить каждому ресурсу access приложения | Совместное использование ресурсов между источниками (CORS) не должно разрешать всем доменам access приложение-функцию. Разрешите взаимодействие с функциональным приложением только необходимым доменам. | AuditIfNotExists; Нетрудоспособный | 2.1.0 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Для веб-приложений рекомендуется использовать последнюю версию HTTP, чтобы воспользоваться исправлениями безопасности, если таковые имеются, и/или новыми функциями новой версии. | AuditIfNotExists; Нетрудоспособный | 4.1.0 |
| Приложения-функции, использующие Java, должны использовать указанную версию Java. | Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Рекомендуется использовать последнюю версию Java для приложений-функций, чтобы воспользоваться исправлениями безопасности, если таковые имеются, и новыми функциональными возможностями. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. | AuditIfNotExists; Нетрудоспособный | 3.1.0 |
| Приложения-функции, использующие Python, должны использовать указанную версию Python. | Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. | AuditIfNotExists; Нетрудоспособный | 4.1.0 |
| Образы контейнеров кластера Kubernetes не должны содержать последний тег образа | Требуется, чтобы образы контейнеров не использовали последний тег в Kubernetes, рекомендуется обеспечить воспроизводимость, предотвратить непредвиденные обновления и упростить отладку и откаты с помощью явных и версий образов контейнеров. | Ревизия; Отрицать; Нетрудоспособный | 2.0.1 |
| Kubernetes контейнеры ресурсов ЦП и памяти не должны превышать указанные ограничения | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 9.3.0 |
| Необходимо определить запросы ресурсов ЦП и ресурсов ресурсов кластера Kubernetes | Принудительное применение запросов ресурсов ЦП и памяти контейнера, чтобы убедиться, что запланированный узел имеет необходимые ресурсы. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0-preview |
| контейнеры кластера Kubernetes не должны совместно использовать пространства имен узлов | Блокировка доступа к пространству имен идентификатора процесса узла, пространству имен IPC узла и пространству имен сети узла в кластере Kubernetes. Эта рекомендация соответствует стандартам безопасности Pod Kubernetes для пространств имен узлов и входит в состав CIS 5.2.1, 5.2.2 и 5.2.3, предназначенных для повышения безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | Ревизия; Отрицать; Нетрудоспособный | 6.0.0 |
| контейнеры кластера Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 6.2.1 |
| контейнеры кластера Kubernetes должны использовать только разрешенные возможности | Ограничьте возможности для уменьшения surface атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 6.2.0 |
| контейнеры кластера Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 9.3.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенный тип ProcMountType | Контейнеры объектов pod могут использовать только разрешенные типы ProcMountType в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Ревизия; Отрицать; Нетрудоспособный | 8.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенную политику получения | Ограничить политику получения контейнеров, чтобы контейнеры использовали только разрешенные образы в развертываниях | Ревизия; Отрицать; Нетрудоспособный | 3.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили seccomp | Контейнеры объектов pod могут использовать только разрешенные профили seccomp в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Ревизия; Отрицать; Нетрудоспособный | 7.2.0 |
| контейнеры кластера Kubernetes должны выполняться только с корневой файловой системой | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 6.3.0 |
| [Предварительная версия]: контейнеры кластера Kubernetes должны использовать только разрешенные интерфейсы sysctl | Контейнеры должны использовать только разрешенные интерфейсы sysctl в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0-preview |
| Kubernetes hostPath тома кластера должен использовать только разрешенные пути узла | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Azure Arc включена Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 6.3.0 |
| Модули pod и контейнеры кластера Kubernetes должны соответствовать стандартам безопасности SELinux | Эта политика применяет стандарты безопасности Pod Kubernetes для параметров SELinux. В режиме PSS поля "пользователь" и "роль" должны быть пустыми, а поле "тип" должно быть одним из допустимых значений. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Ревизия; Отрицать; Нетрудоспособный | 8.0.0 |
| модули pod кластера Kubernetes и контейнеры должны выполняться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 6.2.0 |
| Объекты pod в кластере Kubernetes должны использовать только разрешенные типы томов | Объекты pod могут использовать только разрешенные типы томов в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Ревизия; Отрицать; Нетрудоспособный | 5.2.0 |
| модули pod кластера Kubernetes должны использовать только утвержденный список узлов и список портов | Ограничьте access pod сети узла и допустимые порты узлов в кластере Kubernetes. Эта рекомендация является частью CIS 5.2.4, которая предназначена для повышения безопасности сред Kubernetes и соответствует стандартам безопасности Pod (PSS) для hostPorts. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | Ревизия; Отрицать; Нетрудоспособный | 7.0.0 |
| службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничить службы прослушивать только разрешенные порты, чтобы защитить access в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 8.2.0 |
| Службы кластера Kubernetes должны использовать только разрешенные внешние IP-адреса | Использование разрешенных внешних IP-адресов для предотвращения потенциальной атаки (CVE-2020-8554) в кластере Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Ревизия; Отрицать; Нетрудоспособный | 5.2.0 |
| Службы кластеров Kubernetes должны использовать уникальные селекторы | Убедитесь, что службы в пространстве имен имеют уникальные селекторы. Уникальный селектор службы гарантирует, что каждая служба в пространстве имен однозначно идентифицируется на основе определенных критериев. Эта политика синхронизирует ресурсы службы с OPA через Gatekeeper. Перед применением убедитесь, что емкость памяти pod Gatekeeper не будет превышена. Параметры применяются к определенным пространствам имен, но синхронизирует все ресурсы этого типа во всех пространствах имен. В настоящее время в предварительной версии службы Kubernetes (AKS). | Ревизия; Отрицать; Нетрудоспособный | 1.2.2 |
| кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 9.2.0 |
| Кластер Kubernetes не должен использовать незащищенные объекты Pod | Блокировка использования незащищенных объектов Pod. После отказа узла незащищенные объекты Pod не будут запланированы заново. Объектами Pod должны управлять Deployment, Replicset, Daemonset или Jobs | Ревизия; Отрицать; Нетрудоспособный | 2.3.1 |
| Кубернетес кластера Windows контейнеров не должен выполняться как ContainerAdministrator | Запретить использование ContainerAdministrator в качестве пользователя для выполнения процессов контейнера для Windows модулей pod или контейнеров. Эта рекомендация предназначена для повышения безопасности Windows узлов. Дополнительные сведения см. в статье https://kubernetes.io/docs/concepts/windows/intro/. | Ревизия; Отрицать; Нетрудоспособный | 1.2.0 |
| кластер Kubernetes Windows pod не должен запускать контейнеры HostProcess | Запретить prviledged доступ к узлу Windows. Эта рекомендация предназначена для повышения безопасности Windows узлов. Дополнительные сведения см. в статье https://kubernetes.io/docs/concepts/windows/intro/. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| кластеры Kubernetes должны отключить учетные данные API автоподключения | Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 4.2.0 |
| кластеры Kubernetes не должны разрешать эскалацию привилегий контейнера | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | Ревизия; Отрицать; Нетрудоспособный | 8.0.0 |
| кластеры Kubernetes не должны предоставлять возможности безопасности CAP_SYS_ADMIN | Чтобы уменьшить surface атаки контейнеров, ограничьте CAP_SYS_ADMIN возможности Linux. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 5.1.0 |
| кластеры Kubernetes не должны использовать пространство имен по умолчанию | Запрет использования пространства имен по умолчанию в кластерах Kubernetes для защиты от несанкционированных access для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | ревизия; Ревизия; отрицать; Отрицать; нетрудоспособный; Нетрудоспособный | 4.2.0 |
| Кластеры Kubernetes должны использовать драйвер Container Storage Interface (CSI) StorageClass | Интерфейс контейнерного хранилища (CSI) — это стандарт для интеграции блоковых и файловых систем хранения данных с контейнерными вычислительными нагрузками в Kubernetes. Класс StorageClass средства подготовки в дереве должен стать нерекомендуемым с выпуска версии AKS 1.21. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver | Ревизия; Отрицать; Нетрудоспособный | 2.3.0 |
| Должен иметь правила сходства или ограничения распространения топологии | Эта политика гарантирует, что модули pod запланированы на разных узлах кластера. При применении правил защиты от сходства или ограничений распространения топологии pod доступность сохраняется даже в том случае, если один из узлов становится недоступным. Модули Pod будут продолжать работать на других узлах, повышая устойчивость. | Ревизия; Отрицать; Нетрудоспособный | 1.2.2 |
| Должны быть установлены только утвержденные расширения виртуальных машин | Эта политика управляет неутвержденными расширениями виртуальных машин. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Выводит сообщение, если применяется мутация | Ищет примененные заметки о мутациях и выводит сообщение, если заметка существует. | Ревизия; Нетрудоспособный | 1.2.1 |
| Учетные записи хранения должны предотвращать репликацию объектов в разных клиентах | Необходимо вести аудит ограничения репликации объектов для учетной записи хранения. По умолчанию пользователи могут настроить репликацию объектов с исходной учетной записью хранения в одном клиенте AZURE AD и целевой учетной записи в другом клиенте. При этом возникает проблема безопасности, поскольку данные клиента могут быть реплицированы в учетную запись хранения, которая принадлежит заказчику. Если параметр allowCrossTenantReplication равно false, репликация объектов может быть настроена только в том случае, если учетные записи источника и назначения находятся в одном Azure клиенте AD. | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
PV-4. Аудит и применение безопасных конфигураций для вычислительных ресурсов
Дополнительные сведения см. в статье "Управление уязвимостями" (Posture and Vulnerability Management: PV-4: аудит и применение безопасных конфигураций для вычислительных ресурсов).
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists; Нетрудоспособный | 3.1.0 |
| Провести аудит компьютеров Linux, у которых разрешения на файл passwd не установлены на 0644 | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists; Нетрудоспособный | 3.1.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists; Нетрудоспособный | 3.1.0 |
| Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists; Нетрудоспособный | 2.1.0 |
| Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, не имеющих максимального возраста пароля, заданного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней | AuditIfNotExists; Нетрудоспособный | 2.1.0 |
| Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, которые не имеют минимального возраста пароля, заданного для указанного количества дней. Значение по умолчанию для минимального возраста пароля — 1 день | AuditIfNotExists; Нетрудоспособный | 2.1.0 |
| Аудит компьютеров Windows без включенного параметра сложности пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютеры, у которых нет параметра сложности паролей | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, которые не ограничивают минимальную длину пароля указанным числом символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists; Нетрудоспособный | 2.1.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютеры, которые не хранят пароли с помощью обратимого шифрования | AuditIfNotExists; Нетрудоспособный | 2.0.0 |
| [предварительная версия]: Azure Stack серверы HCI должны последовательно применять политики управления приложениями | Как минимум, примените базовую политику Microsoft WDAC в принудительном режиме на всех Azure Stack серверах HCI. Примененные политики Windows Defender управления приложениями (WDAC) должны быть согласованы между серверами в одном кластере. | Ревизия; Нетрудоспособный; AuditIfNotExists | 1.0.0-preview |
| [предварительная версия]: Azure Stack серверы HCI должны соответствовать требованиям Secured-core | Убедитесь, что все серверы Azure Stack HCI соответствуют требованиям Secured-core. Чтобы включить требования к серверу Secured-core: 1. На странице кластеров HCI Azure Stack перейдите к Windows Admin Center и выберите "Подключиться". 2. Перейдите к расширению безопасности и выберите Secured-core. 3. Выберите любой параметр, который не включен, и нажмите кнопку "Включить". | Ревизия; Нетрудоспособный; AuditIfNotExists | 1.0.0-preview |
| Экземпляры ролей облачных служб (расширенная поддержка) должны быть надежно настроены | Защитите экземпляры ролей облачных служб (расширенная поддержка) от атак, убедившись, что они не подвержены уязвимостям в ОС. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Диски и образ ОС должны поддерживать TrustedLaunch | TrustedLaunch повышает безопасность виртуальной машины, требующей поддержки диска ОС и образа ОС (2-го поколения). Дополнительные сведения о ДоверенномLaunch см. на сайте https://aka.ms/trustedlaunch | Ревизия; Нетрудоспособный | 1.0.0 |
| [предварительная версия]: расширение гостевой аттестации должно быть установлено в поддерживаемом linux virtual machines | Установите расширение аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным virtual machines Linux. | AuditIfNotExists; Нетрудоспособный | 6.0.0-preview |
| [предварительная версия]: расширение гостевой аттестации должно быть установлено в поддерживаемых масштабируемых наборах linux virtual machines | Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным virtual machine scale sets Linux. | AuditIfNotExists; Нетрудоспособный | 5.1.0-preview |
| [предварительная версия]: расширение аттестации гостей должно быть установлено на поддерживаемых виртуальных машинах Windows | Установите расширение аттестации гостей на поддерживаемых виртуальных машинах, чтобы разрешить Центр безопасности Azure упреждающее подтверждение и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным Windows виртуальным машинам. | AuditIfNotExists; Нетрудоспособный | 4.0.0-preview |
| [предварительная версия]: расширение аттестации гостей должно быть установлено в поддерживаемых масштабируемых наборах виртуальных машин Windows | Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы позволить Центр безопасности Azure заранее тестировать и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к доверенным запускам и конфиденциальным Windows масштабируемым наборам виртуальных машин. | AuditIfNotExists; Нетрудоспособный | 3.1.0-preview |
| расширение Guest Configuration должно быть установлено на компьютерах | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки политики в гостевом режиме будут доступны, например "Windows Эксплойт-охранник должен быть включен". Дополнительные сведения см. в разделе Azure. | AuditIfNotExists; Нетрудоспособный | 1.0.3 |
| Linux-компьютеры должны соответствовать требованиям для базовых показателей безопасности вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. в |
AuditIfNotExists; Нетрудоспособный | 2.3.0 |
| [предварительная версия]: virtual machines Linux должен использовать только подписанные и доверенные компоненты загрузки | Все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака определили ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите обнаруженные компоненты. | AuditIfNotExists; Нетрудоспособный | 1.0.0-preview |
| [предварительная версия]: безопасная загрузка должна быть включена на поддерживаемых виртуальных машинах Windows | Включите безопасную загрузку на поддерживаемых Windows виртуальных машинах, чтобы устранить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным Windows виртуальным машинам. | Ревизия; Нетрудоспособный | 4.0.0-preview |
| Виртуальная машина должна иметь включенную функцию TrustedLaunch | Включите TrustedLaunch на виртуальной машине для повышения безопасности, используйте номер SKU виртуальной машины (2-го поколения), поддерживающий TrustedLaunch. Дополнительные сведения о TrustedLaunch см. в статье /azure/virtual-machines/trusted-launch | Ревизия; Нетрудоспособный | 1.0.0 |
| расширение гостевой конфигурации Virtual machines должно быть развернуто с управляемым удостоверением | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Azure виртуальные машины в области этой политики будут несовместимы при установке расширения гостевой конфигурации, но не имеют управляемого удостоверения, назначаемого системой. Дополнительные сведения см. в разделе Azure | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| [предварительная версия]: vTPM следует включить в поддерживаемых virtual machines | Включите виртуальное устройство TPM в поддерживаемых virtual machines для упрощения измеряемой загрузки и других функций безопасности ОС, требующих доверенного платформенного модуля. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к virtual machines доверенного запуска. | Ревизия; Нетрудоспособный | 2.0.0-preview |
| На компьютерах Windows должен быть настроен Microsoft Defender для обновления сигнатур защиты в течение одного дня | Чтобы обеспечить достаточную защиту от недавно выпущенных вредоносных программ, Windows Defender подписи защиты необходимо регулярно обновлять для учета недавно выпущенных вредоносных программ. Эта политика не применяется к подключенным серверам Arc и требует, чтобы необходимые компоненты гостевой конфигурации были развернуты в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| На компьютерах Windows должна быть включена защита в реальном времени в Microsoft Defender | Windows компьютеры должны включить защиту в режиме реального времени в Windows Defender, чтобы обеспечить достаточную защиту от недавно выпущенных вредоносных программ. Эта политика неприменима к подключенным серверам arc и требует, чтобы предварительные требования гостевой конфигурации были развернуты в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| Windows компьютеры должны соответствовать требованиям панель управления к административным шаблонам | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны - панель управления" для персонализации ввода и предотвращения включения экранов блокировки. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к "Административные шаблоны — MSS (устаревшая версия)" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны — MSS (устаревшая версия)" для автоматического входа, сохранения экрана, сетевого поведения, безопасной библиотеки DLL и журнала событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к административным шаблонам — | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны — сеть" для гостевых входа, одновременных подключений, сетевого моста, ICS и разрешения имен многоадресной рассылки. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для административных шаблонов — system' | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны — система" для параметров, которые управляют административным интерфейсом и удаленной помощью. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — Учетные записи" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — учетные записи" для ограничения использования локальных учетных записей пустых паролей и состояния гостевой учетной записи. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — аудит" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — аудит" для принудительного принудительного подкатегории политики аудита и завершения работы, если не удается записать аудиты безопасности. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям в разделе "Параметры безопасности — устройства" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — устройства" для открепления без входа, установки драйверов печати и форматирования или извлечения носителей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Интерактивный вход" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — интерактивный вход" для отображения фамилии пользователя и необходимости ctrl-alt-del. Эта политика требует, чтобы предварительные требования гостевой конфигурации были развернуты в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — Microsoft сетевой клиент" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Microsoft сетевой клиент" для Microsoft сетевого клиента или сервера и SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — сервер для сетей Майкрософт" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности - Microsoft сетевой сервер" для отключения сервера SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — сетевой доступ" для включения доступа для анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, клиента LDAP и SSP NTLM. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — консоль восстановления" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — консоль восстановления", чтобы разрешить флоппи-копирование и доступ ко всем дискам и папкам. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — завершение работы" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — завершение работы" для разрешения завершения работы без входа и очистки файла страницы виртуальной памяти. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — системные объекты" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — системные объекты", чтобы не Windows подсистемы и разрешения внутренних системных объектов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Параметры безопасности — параметры системы" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — параметры системы" для правил сертификатов для исполняемых файлов для SRP и необязательных подсистем. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — контроль учетных записей пользователей" для администраторов, поведения запроса на повышение прав и виртуализации файлов и ошибок записи реестра. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Политики учетных записей" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — политики учетных записей" для журнала паролей, возраста, длины, сложности и хранения паролей с помощью обратимого шифрования. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для политик аудита системы — | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — вход учетной записи" для аудита проверки учетных данных и других событий входа в учетную запись. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — управление учетными записями" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — управление учетными записями" для аудита приложений, безопасности и управления группами пользователей и других событий управления. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — подробное отслеживание" для аудита DPAPI, создания и завершения процесса, событий RPC и действий PNP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для "Политики аудита системы — вход в систему" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — вход в систему" для аудита IPSec, политики сети, утверждений, блокировки учетных записей, членства в группах и событий входа в систему. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для "Политики аудита системы — доступ к объектам" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — доступ к объектам" для аудита файла, реестра, SAM, хранилища, фильтрации, ядра и других системных типов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Изменение политики" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — изменение политики политики" для аудита изменений в политиках аудита системы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — использование привилегий" для аудита нечувствительных и других привилегий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к политикам аудита системы — System' | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — система" для аудита драйвера IPsec, целостности системы, расширения системы, изменения состояния и других системных событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Назначение прав пользователей", чтобы разрешить вход локально, RDP, доступ из сети и многие другие действия пользователя. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для Windows компонентов | Windows компьютеры должны иметь указанные параметры групповой политики в категории "компоненты Windows" для базовой проверки подлинности, незашифрованного трафика, Microsoft учетных записей, телеметрии, Кортаны и других Windows поведения. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Свойства брандмауэра Windows" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Свойства брандмауэра Windows" для состояния брандмауэра, подключений, управления правилами и уведомлений. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям базовых показателей безопасности вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Дополнительные сведения см. в |
AuditIfNotExists; Нетрудоспособный | 2.1.0 |
PV-5. Выполнение оценки уязвимостей
Дополнительные сведения см. в разделе "Управление уязвимостями" и "Управление уязвимостями": PV-5: оценка уязвимостей.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| решение для оценки уязвимостей A должно быть включено в virtual machines | Проверяет virtual machines, чтобы определить, выполняется ли оно поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. стандартная ценовая категория Центр безопасности Azure включает сканирование уязвимостей для виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| Machines должны иметь разрешения секретов | Проверяет virtual machines, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов в virtual machines. | AuditIfNotExists; Нетрудоспособный | 1.0.2 |
| Вулнерность оценки должна быть включена в Управляемый экземпляр SQL | Проверьте каждую Управляемый экземпляр SQL, которая не включает повторяющиеся проверки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| оценка Вулнерности должна быть включена на серверах SQL | Аудит Azure SQL серверов, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists; Нетрудоспособный | 3.0.0 |
| В рабочих областях Synapse должна быть включена оценка уязвимостей | Обнаружение, отслеживание и устранение потенциальных уязвимостей путем настройки повторяющихся проверок уязвимостей SQL в рабочих областях Synapse. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
PV-6. Быстрое и автоматическое исправление уязвимостей
Дополнительные сведения см. в статье "Управление уязвимостями" и "Управление уязвимостями": PV-6: быстрое и автоматическое исправление уязвимостей.
| Имя | Description | Effect(s) | Версия |
|---|---|---|---|
| образы контейнеров реестра Azure должны иметь уязвимости, разрешенные (на Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить безопасность, обеспечивая безопасность образов для использования до развертывания. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| Azure для запуска образов контейнеров должны быть устранены уязвимости (на Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация позволяет увидеть уязвимые образы, на данный момент работающие в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, работающих в настоящее время, является ключом к улучшению состояния безопасности, значительно уменьшая surface атак для контейнерных рабочих нагрузок. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
| Для экземпляров ролей облачных служб (расширенная поддержка) должны быть установлены обновления системы | Защитите экземпляры ролей облачных служб (расширенная поддержка), установив для них последние обновления безопасности и важные обновления. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| Hotpatch следует включить для виртуальных машин Windows Server Azure Edition | Сократите число перезагрузок и быстро устанавливайте обновления с помощью горячих исправлений. Дополнительные сведения см. в | Ревизия; Отрицать; Нетрудоспособный | 1.0.0 |
| Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Ревизия; Нетрудоспособный | 1.0.2 |
| Machines следует настроить для периодической проверки отсутствия обновлений системы | Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode для Windows: Windows режиме оценки исправлений для Linux: Режим оценки исправленийLinux. | Ревизия; Отрицать; Нетрудоспособный | 3.9.0 |
| базы данных SQL должны иметь обнаруженные уязвимости | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists; Нетрудоспособный | 4.1.0 |
| SQL-серверы на компьютерах должны быть устранены результаты уязвимостей | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists; Нетрудоспособный | 1.0.0 |
| обновления System должны быть установлены на компьютерах (на базе Центра обновления) | На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists; Нетрудоспособный | 1.0.1 |
Дальнейшие шаги
- Дополнительные сведения об управлении см. в статье Microsoft cloud security benchmark.
- Сопоставление элементов управления MCSB версии 2 с CIS для консолидированного представления сопоставлений элементов управления CIS версии 8.1
- Назначение политик с помощью портала Azure
- Дополнительные сведения о Политика Azure