تفاصيل مبادرة الامتثال التنظيمي المضمنة لضوابط النظام والتنظيم (SOC) 2
توضح المقالة التالية بالتفصيل كيفية تعيين تعريف المبادرة المضمنة للامتثال التنظيمي لنهج Azure إلى مجالات التوافق وعناصر التحكم في عناصر تحكم النظام والتنظيم (SOC) 2. لمزيد من المعلومات حول معيار التوافق هذا، راجع عناصر تحكم النظام والتنظيم (SOC) 2. لفهم الملكية، راجع نوع النهج والمسؤولية المشتركة في السحابة.
التعيينات التالية مخصصة لعناصر تحكم النظام والمؤسسة (SOC) 2 . يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف المبادرة المضمنة للامتثال التنظيمي SOC 2 Type 2 وحدده.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
معايير إضافية للتوفر
إدارة القدرات
المعرف: SOC 2 النوع 2 A1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ تخطيط القدرة الإنتاجية | CMA_C1252 - إجراء تخطيط القدرات | يدوي، معطل | 1.1.0 |
الحماية البيئية والبرامج وعمليات النسخ الاحتياطي للبيانات والبنية الأساسية للاسترداد
المعرف: SOC 2 النوع 2 A1.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
| استخدام الإضاءة التلقائية في حالات الطوارئ | CMA_0209 - استخدام إضاءة الطوارئ التلقائية | يدوي، معطل | 1.1.0 |
| إنشاء موقع معالجة بديل | CMA_0262 - إنشاء موقع معالجة بديل | يدوي، معطل | 1.1.0 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| تنفيذ منهجية اختبار الاختراق | CMA_0306 - تنفيذ منهجية اختبار الاختراق | يدوي، معطل | 1.1.0 |
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
| تثبيت نظام إنذار | CMA_0338 - تثبيت نظام إنذار | يدوي، معطل | 1.1.0 |
| استرداد الموارد وإعادة تكوينها بعد أي تعطيل | CMA_C1295 - استرداد الموارد وإعادة تكوينها بعد أي تعطيل | يدوي، معطل | 1.1.1 |
| تشغيل هجمات المحاكاة | CMA_0486 - تشغيل هجمات المحاكاة | يدوي، معطل | 1.1.0 |
| تخزين معلومات النسخ الاحتياطي بشكل منفصل | CMA_C1293 - تخزين معلومات النسخ الاحتياطي بشكل منفصل | يدوي، معطل | 1.1.0 |
| نقل معلومات النسخ الاحتياطي إلى موقع تخزين بديل | CMA_C1294 - نقل معلومات النسخ الاحتياطي إلى موقع تخزين بديل | يدوي، معطل | 1.1.0 |
اختبار خطة الاسترداد
المعرف: SOC 2 النوع 2 A1.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنسيق خطط مواجهة المخاطر مع الخطط ذات الصلة | CMA_0086 - تنسيق خطط الطوارئ مع الخطط ذات الصلة | يدوي، معطل | 1.1.0 |
| بدء إجراءات تصحيحية لاختبار خطة مواجهة المخاطر | CMA_C1263 - بدء إجراءات تصحيحية لاختبار خطة الطوارئ | يدوي، معطل | 1.1.0 |
| مراجعة نتائج اختبار خطة مواجهة المخاطر | CMA_C1262 - مراجعة نتائج اختبار خطة الطوارئ | يدوي، معطل | 1.1.0 |
| اختبار خطة استمرارية الأعمال والإصلاح بعد كارثة | CMA_0509 - اختبار خطة استمرارية الأعمال والتعافي من الكوارث | يدوي، معطل | 1.1.0 |
معايير إضافية للسرية
حماية المعلومات السرية
المعرف: SOC 2 النوع 2 C1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
التخلص من المعلومات السرية
المعرف: SOC 2 النوع 2 C1.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
بيئة التحكم
مبدأ COSO 1
المعرف: SOC 2 Type 2 CC1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير إجراءات الاستخدام المقبول والنُهج | CMA_0143 - تطوير سياسات وإجراءات الاستخدام المقبولة | يدوي، معطل | 1.1.0 |
| تطوير سياسة قواعد السلوك للمؤسسة | CMA_0159 - تطوير سياسة قواعد السلوك التنظيمية | يدوي، معطل | 1.1.0 |
| توثيق قبول الموظفين لمتطلبات الخصوصية | CMA_0193 - قبول موظفي المستندات لمتطلبات الخصوصية | يدوي، معطل | 1.1.0 |
| فرض قواعد السلوك واتفاقيات الوصول | CMA_0248 - فرض قواعد السلوك واتفاقيات الوصول | يدوي، معطل | 1.1.0 |
| حظر الممارسات غير العادلة | CMA_0396 - حظر الممارسات غير العادلة | يدوي، معطل | 1.1.0 |
| مراجعة قواعد السلوك المُنَقّحة وتوقيعها | CMA_0465 - مراجعة قواعد السلوك المنقحة وتوقيعها | يدوي، معطل | 1.1.0 |
| تحديث قواعد السلوك واتفاقيات الوصول | CMA_0521 - تحديث قواعد السلوك واتفاقيات الوصول | يدوي، معطل | 1.1.0 |
| تحديث قواعد السلوك واتفاقيات الوصول كل 3 سنوات | CMA_0522 - تحديث قواعد السلوك واتفاقيات الوصول كل 3 سنوات | يدوي، معطل | 1.1.0 |
مبدأ COSO 2
المعرف: SOC 2 Type 2 CC1.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعيين مسؤول أمان المعلومات خبير | CMA_C1733 - تعيين ضابط أمن معلومات كبير | يدوي، معطل | 1.1.0 |
| وضع خطة أمان النظام وتطويرها | CMA_0151 - تطوير ووضع خطة أمان النظام | يدوي، معطل | 1.1.0 |
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | CMA_0279 - تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | يدوي، معطل | 1.1.0 |
| تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | CMA_0325 - تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | يدوي، معطل | 1.1.0 |
مبدأ COSO 3
المعرف: SOC 2 Type 2 CC1.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعيين مسؤول أمان المعلومات خبير | CMA_C1733 - تعيين ضابط أمن معلومات كبير | يدوي، معطل | 1.1.0 |
| وضع خطة أمان النظام وتطويرها | CMA_0151 - تطوير ووضع خطة أمان النظام | يدوي، معطل | 1.1.0 |
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | CMA_0279 - تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | يدوي، معطل | 1.1.0 |
| تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | CMA_0325 - تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | يدوي، معطل | 1.1.0 |
مبدأ COSO 4
المعرف: SOC 2 Type 2 CC1.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير تدريب أمني دوري قائم على الأدوار | CMA_C1095 - توفير تدريب أمني دوري قائم على الأدوار | يدوي، معطل | 1.1.0 |
| توفير تدريب دوري على التوعية الأمنية | CMA_C1091 - توفير تدريب دوري على التوعية الأمنية | يدوي، معطل | 1.1.0 |
| توفير التمارين العملية المستندة إلى الأدوار | CMA_C1096 - توفير تدريبات عملية قائمة على الأدوار | يدوي، معطل | 1.1.0 |
| توفير التدريب الأمني قبل توفير الوصول | CMA_0418 - توفير التدريب الأمني قبل توفير الوصول | يدوي، معطل | 1.1.0 |
| توفير التدريب الأمني للمستخدمين الجدد | CMA_0419 - توفير التدريب الأمني للمستخدمين الجدد | يدوي، معطل | 1.1.0 |
مبدأ COSO 5
المعرف: SOC 2 Type 2 CC1.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير إجراءات الاستخدام المقبول والنُهج | CMA_0143 - تطوير سياسات وإجراءات الاستخدام المقبولة | يدوي، معطل | 1.1.0 |
| فرض قواعد السلوك واتفاقيات الوصول | CMA_0248 - فرض قواعد السلوك واتفاقيات الوصول | يدوي، معطل | 1.1.0 |
| تنفيذ عملية الجزاءات الرسمية | CMA_0317 - تنفيذ عملية الجزاءات الرسمية | يدوي، معطل | 1.1.0 |
| إعلام الموظفين بالجزاءات | CMA_0380 - إخطار الموظفين عند العقوبات | يدوي، معطل | 1.1.0 |
الاتصالات والمعلومات
مبدأ COSO 13
المعرف: SOC 2 النوع 2 CC2.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
مبدأ COSO 14
المعرف: SOC 2 Type 2 CC2.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير إجراءات الاستخدام المقبول والنُهج | CMA_0143 - تطوير سياسات وإجراءات الاستخدام المقبولة | يدوي، معطل | 1.1.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.2.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| فرض قواعد السلوك واتفاقيات الوصول | CMA_0248 - فرض قواعد السلوك واتفاقيات الوصول | يدوي، معطل | 1.1.0 |
| توفير تدريب أمني دوري قائم على الأدوار | CMA_C1095 - توفير تدريب أمني دوري قائم على الأدوار | يدوي، معطل | 1.1.0 |
| توفير تدريب دوري على التوعية الأمنية | CMA_C1091 - توفير تدريب دوري على التوعية الأمنية | يدوي، معطل | 1.1.0 |
| توفير التدريب الأمني قبل توفير الوصول | CMA_0418 - توفير التدريب الأمني قبل توفير الوصول | يدوي، معطل | 1.1.0 |
| توفير التدريب الأمني للمستخدمين الجدد | CMA_0419 - توفير التدريب الأمني للمستخدمين الجدد | يدوي، معطل | 1.1.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
مبدأ COSO 15
المعرف: SOC 2 النوع 2 CC2.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد واجبات المعالجات | CMA_0127 - تحديد واجبات المعالجات | يدوي، معطل | 1.1.0 |
| تقديم نتائج تقييم الأمان | CMA_C1147 - تقديم نتائج تقييم الأمان | يدوي، معطل | 1.1.0 |
| وضع خطة أمان النظام وتطويرها | CMA_0151 - تطوير ووضع خطة أمان النظام | يدوي، معطل | 1.1.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.2.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | CMA_0279 - تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | يدوي، معطل | 1.1.0 |
| تحديد متطلبات أمان الموظفين التابعين لجهة خارجية | CMA_C1529 - تحديد متطلبات أمان الموظفين التابعين لجهة خارجية | يدوي، معطل | 1.1.0 |
| تنفيذ أساليب تسليم إشعار الخصوصية | CMA_0324 - تنفيذ أساليب تسليم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | CMA_0325 - تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | يدوي، معطل | 1.1.0 |
| إعداد تقرير تقييم الأمان | CMA_C1146 - إنتاج تقرير تقييم الأمان | يدوي، معطل | 1.1.0 |
| تقديم إشعار الخصوصية | CMA_0414 - تقديم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| مطالبة الموفرين التابعين لجهات لخارجية بالامتثال لإجراءات أمن الموظفين والنُهج | CMA_C1530 - مطالبة موفري الجهات الخارجية بالامتثال لسياسات وإجراءات أمن الموظفين | يدوي، معطل | 1.1.0 |
| تقييد الاتصالات | CMA_0449 - تقييد الاتصالات | يدوي، معطل | 1.1.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
تقييم المخاطر
مبدأ COSO 6
المعرف: SOC 2 النوع 2 CC3.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تصنيف المعلومات | CMA_0052 - تصنيف المعلومات | يدوي، معطل | 1.1.0 |
| تحديد احتياجات حماية المعلومات | CMA_C1750 - تحديد احتياجات حماية المعلومات | يدوي، معطل | 1.1.0 |
| تطوير مخططات تصنيف الأعمال | CMA_0155 - تطوير أنظمة تصنيف الأعمال | يدوي، معطل | 1.1.0 |
| تطوير SSP يلبي المعايير | CMA_C1492 - تطوير موفر الخدمات المشتركة (SSP) الذي يلبي المعايير | يدوي، معطل | 1.1.0 |
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
مبدأ COSO 7
المعرف: SOC 2 Type 2 CC3.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| تصنيف المعلومات | CMA_0052 - تصنيف المعلومات | يدوي، معطل | 1.1.0 |
| تحديد احتياجات حماية المعلومات | CMA_C1750 - تحديد احتياجات حماية المعلومات | يدوي، معطل | 1.1.0 |
| تطوير مخططات تصنيف الأعمال | CMA_0155 - تطوير أنظمة تصنيف الأعمال | يدوي، معطل | 1.1.0 |
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
مبدأ COSO 8
المعرف: SOC 2 النوع 2 CC3.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
مبدأ COSO 9
المعرف: SOC 2 النوع 2 CC3.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم المخاطر في علاقات الجهات الخارجية | CMA_0014 - تقييم المخاطر في علاقات الجهات الخارجية | يدوي، معطل | 1.1.0 |
| تحديد متطلبات توريد السلع والخدمات | CMA_0126 - تحديد متطلبات توريد السلع والخدمات | يدوي، معطل | 1.1.0 |
| تحديد الالتزامات التعاقدية للمورد | CMA_0140 - تحديد التزامات عقد المورد | يدوي، معطل | 1.1.0 |
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| وضع سياسات لإدارة مخاطر سلسلة التوريد | CMA_0275 - وضع سياسات لإدارة مخاطر سلسلة التوريد | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
أنشطة المراقبة
مبدأ COSO 16
المعرف: SOC 2 النوع 2 CC4.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم عناصر التحكم في الأمان | CMA_C1145 - تقييم عناصر التحكم في الأمان | يدوي، معطل | 1.1.0 |
| تطوير خطة تقييم الأمان | CMA_C1144 - تطوير خطة تقييم الأمان | يدوي، معطل | 1.1.0 |
| تحديد اختبار إضافي لتقييمات التحكم في الأمان | CMA_C1149 - حدد اختبارا إضافيا لتقييمات التحكم في الأمان | يدوي، معطل | 1.1.0 |
مبدأ COSO 17
المعرف: SOC 2 النوع 2 CC4.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقديم نتائج تقييم الأمان | CMA_C1147 - تقديم نتائج تقييم الأمان | يدوي، معطل | 1.1.0 |
| إعداد تقرير تقييم الأمان | CMA_C1146 - إنتاج تقرير تقييم الأمان | يدوي، معطل | 1.1.0 |
أنشطة التحكم
مبدأ COSO 10
المعرف: SOC 2 النوع 2 CC5.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
مبدأ COSO 11
المعرف: SOC 2 النوع 2 CC5.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| تحديد الالتزامات التعاقدية للمورد | CMA_0140 - تحديد التزامات عقد المورد | يدوي، معطل | 1.1.0 |
| توثيق معايير قبول عقد الاستحواذ | CMA_0187 - معايير قبول عقد الحصول على المستندات | يدوي، معطل | 1.1.0 |
| حماية مستندات البيانات الشخصية في عقود الاستحواذ | CMA_0194 - حماية المستندات للبيانات الشخصية في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| حماية مستندات معلومات الأمان في عقود الاستحواذ | CMA_0195 - حماية المستندات لمعلومات الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق متطلبات استخدام البيانات المشتركة في العقود | CMA_0197 - متطلبات المستند لاستخدام البيانات المشتركة في العقود | يدوي، معطل | 1.1.0 |
| متطلبات ضمان أمان المستندات في عقود الاستحواذ | CMA_0199 - توثيق متطلبات ضمان الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات توثيق أمان المستندات في عقد الاستحواذ | CMA_0200 - توثيق متطلبات وثائق الأمان في عقد الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | CMA_0201 - توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات قوة أمان المستندات في عقود الاستحواذ | CMA_0203 - توثيق متطلبات قوة الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق بيئة نظام المعلومات في عقود الاستحواذ | CMA_0205 - توثيق بيئة نظام المعلومات في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | CMA_0207 - توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
| يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
مبدأ COSO 12
المعرف: SOC 2 النوع 2 CC5.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين قائمة بيضاء للكشف | CMA_0068 - تكوين قائمة بيضاء للكشف | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
| تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية | CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية | يدوي، معطل | 1.1.0 |
| الخضوع لمراجعة أمنية مستقلة | CMA_0515 - الخضوع لمراجعة أمنية مستقلة | يدوي، معطل | 1.1.0 |
عناصر التحكم المنطقية والمادية في الوصول
برامج أمان الوصول المنطقي والبنية الأساسية والبنيات
المعرف: SOC 2 النوع 2 CC6.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH | على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists، معطل | 3.2.0 |
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| تخويل الوصول عن بعد | CMA_0024 - تخويل الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقوم موارد Azure الذكاء الاصطناعي Services بتشفير البيانات الثابتة باستخدام مفتاح مدار من قبل العميل (CMK) | يوفر استخدام المفاتيح التي يديرها العميل لتشفير البيانات الثابتة مزيدا من التحكم في دورة حياة المفتاح، بما في ذلك التدوير والإدارة. وهذا أمر ذو صلة خاصة بالمنظمات ذات متطلبات الامتثال ذات الصلة. لا يتم تقييم هذا بشكل افتراضي وينبغي تطبيقه فقط عند الحاجة إلى الامتثال أو متطلبات النهج التقييدية. إذا لم يتم تمكينها، تشفير البيانات باستخدام مفاتيح مدارة بواسطة النظام الأساسي. لتنفيذ ذلك، قم بتحديث المعلمة 'Effect' في نهج الأمان للنطاق القابل للتطبيق. | التدقيق، الرفض، التعطيل | 2.2.0 |
| يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل | إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون للشهادات أقصى فترة صلاحية محددة | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى من الوقت الذي يمكن أن تكون الشهادة صالحة داخل مخزن المفتاح الخاص بك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.2.1 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK. | التدقيق، الرفض، التعطيل | 1.1.2 |
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| إنشاء مخزون بيانات | CMA_0096 - إنشاء مخزون بيانات | يدوي، معطل | 1.1.0 |
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| التدريب على التنقل في المستندات | CMA_0191 - تدريب على التنقل في المستندات | يدوي، معطل | 1.1.0 |
| توثيق إرشادات الوصول عن بعد | CMA_0196 - توثيق إرشادات الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه | CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه | يدوي، معطل | 1.1.0 |
| إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | يدوي، معطل | 1.1.0 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.1.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية | CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | يدوي، معطل | 1.1.0 |
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
| الاحتفاظ بسجلات معالجة البيانات الشخصية | CMA_0353 - الاحتفاظ بسجلات لمعالجة البيانات الشخصية | يدوي، معطل | 1.1.0 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| إعلام المستخدمين عن تسجيل الدخول إلى النظام أو الوصول إليه | CMA_0382 - إعلام المستخدمين عن تسجيل دخول النظام أو الوصول إليه | يدوي، معطل | 1.1.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| توفير التدريب على الخصوصية | CMA_0415 - توفير التدريب على الخصوصية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات الأنشطة باستخدام BYOK | يقوم هذا النهج بتدقيق ما إذا تم تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات النشاط باستخدام خدمة BYOK. لا يعمل النهج إلا إذا كان حساب التخزين يقع في الاشتراك نفسه كسجلات النشاط حسب التصميم. يمكن العثور على مزيد من المعلومات حول تشفير Azure Storage غير نشط هنا https://aka.ms/azurestoragebyok. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
توفير الوصول وإزالته
المعرف: SOC 2 النوع 2 CC6.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعيين مديري الحسابات | CMA_0015 - تعيين مديري الحسابات | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| امتيازات الوصول إلى المستند | CMA_0186 - امتيازات الوصول إلى المستند | يدوي، معطل | 1.1.0 |
| وضع شروط لعضوية الدور | CMA_0269 - وضع شروط لعضوية الدور | يدوي، معطل | 1.1.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى الحسابات المتميزة | CMA_0446 - تقييد الوصول إلى الحسابات المتميزة | يدوي، معطل | 1.1.0 |
| مراجعة سجلات توفير الحساب | CMA_0460 - مراجعة سجلات توفير الحساب | يدوي، معطل | 1.1.0 |
| مراجعة حسابات المستخدمين | CMA_0480 - مراجعة حسابات المستخدم | يدوي، معطل | 1.1.0 |
الوصول المستند إلى Rol والامتياز الأقل
المعرف: SOC 2 النوع 2 CC6.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| مراقبة تعيين الدور المتميز | CMA_0378 - مراقبة تعيين الدور المتميز | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى الحسابات المتميزة | CMA_0446 - تقييد الوصول إلى الحسابات المتميزة | يدوي، معطل | 1.1.0 |
| مراجعة سجلات توفير الحساب | CMA_0460 - مراجعة سجلات توفير الحساب | يدوي، معطل | 1.1.0 |
| مراجعة حسابات المستخدمين | CMA_0480 - مراجعة حسابات المستخدم | يدوي، معطل | 1.1.0 |
| مراجعة أمتيازات المستخدم | CMA_C1039 - مراجعة امتيازات المستخدم | يدوي، معطل | 1.1.0 |
| إبطال الأدوار المتميزة حسب الاقتضاء | CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء | يدوي، معطل | 1.1.0 |
| يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services | لتوفير تصفية تجميعية على الإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم المستند إلى الأدوار (RBAC) في الوصول لإدارة الأذونات في مجموعات خدمة Kubernetes، وتكوين نهج التفويض ذات الصلة. | المراجعة، معطلة | 1.0.4 |
| يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
| استخدم إدارة الهويةَ المتميزة | CMA_0533 - استخدم إدارة الهويةَ المتميزة | يدوي، معطل | 1.1.0 |
تقييد الوصول الفعلي
المعرف: SOC 2 Type 2 CC6.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
الحماية المنطقية والمادية على الأصول المادية
المعرف: SOC 2 النوع 2 CC6.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام آلية تعقيم الوسائط | CMA_0208 - توظيف آلية تعقيم إعلامية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
التدابير الأمنية ضد التهديدات خارج حدود النظام
المعرف: SOC 2 النوع 2 CC6.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور | لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي | AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH | على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists، معطل | 3.2.0 |
| تخويل الوصول عن بعد | CMA_0024 - تخويل الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| التدريب على التنقل في المستندات | CMA_0191 - تدريب على التنقل في المستندات | يدوي، معطل | 1.1.0 |
| توثيق إرشادات الوصول عن بعد | CMA_0196 - توثيق إرشادات الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه | CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه | يدوي، معطل | 1.1.0 |
| إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | يدوي، معطل | 1.1.0 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.1.0 |
| تحديد أجهزة الشبكة ومصادقتها | CMA_0296 - تحديد أجهزة الشبكة ومصادقتها | يدوي، معطل | 1.1.0 |
| تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية | CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | يدوي، معطل | 1.1.0 |
| تنفيذ حماية حدود النظام | CMA_0328 - تنفيذ حماية حدود النظام | يدوي، معطل | 1.1.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| إعلام المستخدمين عن تسجيل الدخول إلى النظام أو الوصول إليه | CMA_0382 - إعلام المستخدمين عن تسجيل دخول النظام أو الوصول إليه | يدوي، معطل | 1.1.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| توفير التدريب على الخصوصية | CMA_0415 - توفير التدريب على الخصوصية | يدوي، معطل | 1.1.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
تقييد حركة المعلومات للمستخدمين المعتمدين
المعرف: SOC 2 النوع 2 CC6.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| تحديد متطلبات الأجهزة المحمولة | CMA_0122 - تحديد متطلبات الجهاز المحمول | يدوي، معطل | 1.1.0 |
| استخدام آلية تعقيم الوسائط | CMA_0208 - توظيف آلية تعقيم إعلامية | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه | CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه | يدوي، معطل | 1.1.0 |
| إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | يدوي، معطل | 1.1.0 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.1.0 |
| تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية | CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
| إدارة نقل الأصول | CMA_0370 - إدارة نقل الأصول | يدوي، معطل | 1.1.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
منع البرامج غير المصرح بها أو الضارة أو الكشف عنها
المعرف: SOC 2 النوع 2 CC6.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل. | المراجعة، معطلة | 3.1.0 مهمل |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على أجهزة التشغيل الموثوقة وLinux الظاهرية السرية. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري Trusted Launch و Confidential Linux. | AuditIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | AuditIfNotExists، معطل | معاينة 4.0.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري الموثوق بها وWindows السرية. | AuditIfNotExists، معطل | 3.1.0-المعاينة |
| [معاينة]: يجب تمكين التشغيل الآمن على الأجهزة Windows الظاهرية المعتمدة | قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | المراجعة، معطلة | معاينة 4.0.0 |
| [معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة | تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. | المراجعة، معطلة | 2.0.0-المعاينة |
| يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | تحقق | 1.0.0 |
| يجب أن يكون لدى مجموعات Kubernetes الممكنة في Azure Arc ملحق نهج Azure مثبت | يوفر ملحق Azure Policy لـAzure Arc عمليات إنفاذ وضمانات على نطاق واسع على نظام مجموعات Kubernetes الممكنة في Arc بطريقة مركزية ومتسقة. تعرّف على المزيد من خلال https://aka.ms/akspolicydoc. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات | تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة. | المراجعة، معطلة | 1.0.2 |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة | فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.3.0 |
| يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة | قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.2.0 |
| يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط | استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.3.0 |
| يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.3.0 |
| يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط | تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
| يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
| يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي | يجب تعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائياً لمنع مورد Pod الذي يُحتمل تعرضه للخطر لتشغيل أوامر واجهة برمجة التطبيقات ضد مجموعات Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.2.0 |
| يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.2.0 |
| المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN | لتقليل السطح المعرض للهجوم في الحاويات الخاصة بك، قم بتقييد قدرات CAP_SYS_ADMIN Linux. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية | يجب منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به لأنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.2.0 |
| يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.2.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| يجب تثبيت امتدادات الجهاز الظاهري المعتمدة فقط | يحكم هذا النهج ملحقات الجهاز الظاهري غير المعتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها | تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
| التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | CMA_0542 - التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | يدوي، معطل | 1.1.0 |
| عرض بيانات تشخيص النظام وتكوينها | CMA_0544 - عرض بيانات تشخيص النظام وتكوينها | يدوي، معطل | 1.1.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.0.0 |
عمليات النظام
الكشف عن الثغرات الأمنية الجديدة ومراقبتها
المعرف: SOC 2 النوع 2 CC7.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| تكوين الإجراءات للأجهزة غير المتوافقة | CMA_0062 - تكوين الإجراءات للأجهزة غير المتوافقة | يدوي، معطل | 1.1.0 |
| تطوير التكوينات الأساسية وصيانتها | CMA_0153 - تطوير التكوينات الأساسية وصيانتها | يدوي، معطل | 1.1.0 |
| تمكين الكشف عن أجهزة الشبكة | CMA_0220 - تمكين الكشف عن أجهزة الشبكة | يدوي، معطل | 1.1.0 |
| فرض إعدادات تكوين الأمان | CMA_0249 - فرض إعدادات تكوين الأمان | يدوي، معطل | 1.1.0 |
| إنشاء لوحة تحكم التكوين | CMA_0254 - إنشاء لوحة تحكم التكوين | يدوي، معطل | 1.1.0 |
| إنشاء خطة إدارة تكوين وتوثيقها | CMA_0264 - إنشاء خطة إدارة تكوين وتوثيقها | يدوي، معطل | 1.1.0 |
| تنفيذ أداة إدارة تكوين تلقائية | CMA_0311 - تنفيذ أداة إدارة تكوين تلقائية | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
| التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | CMA_0542 - التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | يدوي، معطل | 1.1.0 |
| عرض بيانات تشخيص النظام وتكوينها | CMA_0544 - عرض بيانات تشخيص النظام وتكوينها | يدوي، معطل | 1.1.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
مراقبة مكونات النظام للسلوك الشاذ
المعرف: SOC 2 Type 2 CC7.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج | يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة | يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر | يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes | يوفر Microsoft Defender for Containers إمكانات أمان Kubernetes الأصلية في السحابة بما في ذلك تعزيز البيئة وحماية أحمال العمل وحماية وقت التشغيل. عند تمكين SecurityProfile.AzureDefender على مجموعة خدمة Azure Kubernetes، يتم نشر وكيل في المجموعة الخاصة بك لجمع بيانات أحداث الأمان. تعرف على المزيد حول Microsoft Defender for Containers في https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | المراجعة، معطلة | 2.0.1 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
الكشف عن الحوادث الأمنية
المعرف: SOC 2 النوع 2 CC7.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات الاستجابة للحوادث ونُهجها وتحديثهما | CMA_C1352 - مراجعة وتحديث سياسات وإجراءات الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
الاستجابة للحوادث الأمنية
المعرف: SOC 2 النوع 2 CC7.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم أحداث أمان المعلومات | CMA_0013 - تقييم أحداث أمان المعلومات | يدوي، معطل | 1.1.0 |
| تنسيق خطط مواجهة المخاطر مع الخطط ذات الصلة | CMA_0086 - تنسيق خطط الطوارئ مع الخطط ذات الصلة | يدوي، معطل | 1.1.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تطوير الضمانات الأمنية | CMA_0161 - تطوير الضمانات الأمنية | يدوي، معطل | 1.1.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.2.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| تمكين حماية الشبكة | CMA_0238 - تمكين حماية الشبكة | يدوي، معطل | 1.1.0 |
| مَحَو المعلومات التالفة | CMA_0253 - القضاء على المعلومات الملوثة | يدوي، معطل | 1.1.0 |
| تنفيذ الإجراءات استجابة لتسرب المعلومات | CMA_0281 - تنفيذ الإجراءات استجابة لتسرب المعلومات | يدوي، معطل | 1.1.0 |
| تحديد فئات الحوادث والإجراءات المتخذة | CMA_C1365 - تحديد فئات الحوادث والإجراءات المتخذة | يدوي، معطل | 1.1.0 |
| تنفيذ معالجة الحوادث | CMA_0318 - تنفيذ معالجة الحوادث | يدوي، معطل | 1.1.0 |
| تضمين إعادة التكوين الديناميكي للموارد التي يُوزعها العملاء | CMA_C1364 - تضمين إعادة تكوين ديناميكية للموارد المنشورة من قبل العملاء | يدوي، معطل | 1.1.0 |
| الحفاظ على خطة الاستجابة للحوادث | CMA_0352 - الحفاظ على خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
| عرض المستخدمين المقيدين والتحقق منهم | CMA_0545 - عرض المستخدمين المقيدين والتحقيق فيهم | يدوي، معطل | 1.1.0 |
التعافي من الحوادث الأمنية المحددة
المعرف: SOC 2 Type 2 CC7.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم أحداث أمان المعلومات | CMA_0013 - تقييم أحداث أمان المعلومات | يدوي، معطل | 1.1.0 |
| تنفيذ اختبار الاستجابة للحوادث | CMA_0060 - إجراء اختبار الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تنسيق خطط مواجهة المخاطر مع الخطط ذات الصلة | CMA_0086 - تنسيق خطط الطوارئ مع الخطط ذات الصلة | يدوي، معطل | 1.1.0 |
| التنسيق مع المؤسسات الخارجية لتحقيق منظور مشترك بين المؤسسات | CMA_C1368 - التنسيق مع المؤسسات الخارجية لتحقيق منظور المؤسسة المشتركة | يدوي، معطل | 1.1.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تطوير الضمانات الأمنية | CMA_0161 - تطوير الضمانات الأمنية | يدوي، معطل | 1.1.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.2.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| تمكين حماية الشبكة | CMA_0238 - تمكين حماية الشبكة | يدوي، معطل | 1.1.0 |
| مَحَو المعلومات التالفة | CMA_0253 - القضاء على المعلومات الملوثة | يدوي، معطل | 1.1.0 |
| إنشاء برنامج أمان المعلومات | CMA_0263 - إنشاء برنامج أمن المعلومات | يدوي، معطل | 1.1.0 |
| تنفيذ الإجراءات استجابة لتسرب المعلومات | CMA_0281 - تنفيذ الإجراءات استجابة لتسرب المعلومات | يدوي، معطل | 1.1.0 |
| تنفيذ معالجة الحوادث | CMA_0318 - تنفيذ معالجة الحوادث | يدوي، معطل | 1.1.0 |
| الحفاظ على خطة الاستجابة للحوادث | CMA_0352 - الحفاظ على خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| تشغيل هجمات المحاكاة | CMA_0486 - تشغيل هجمات المحاكاة | يدوي، معطل | 1.1.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
| عرض المستخدمين المقيدين والتحقق منهم | CMA_0545 - عرض المستخدمين المقيدين والتحقيق فيهم | يدوي، معطل | 1.1.0 |
إدارة التغيير
التغييرات في البنية الأساسية والبيانات والبرامج
المعرف: SOC 2 النوع 2 CC8.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل. | المراجعة، معطلة | 3.1.0 مهمل |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على أجهزة التشغيل الموثوقة وLinux الظاهرية السرية. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري Trusted Launch و Confidential Linux. | AuditIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | AuditIfNotExists، معطل | معاينة 4.0.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري الموثوق بها وWindows السرية. | AuditIfNotExists، معطل | 3.1.0-المعاينة |
| [معاينة]: يجب تمكين التشغيل الآمن على الأجهزة Windows الظاهرية المعتمدة | قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | المراجعة، معطلة | معاينة 4.0.0 |
| [معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة | تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. | المراجعة، معطلة | 2.0.0-المعاينة |
| يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | تحقق | 1.0.0 |
| يجب أن يكون لدى مجموعات Kubernetes الممكنة في Azure Arc ملحق نهج Azure مثبت | يوفر ملحق Azure Policy لـAzure Arc عمليات إنفاذ وضمانات على نطاق واسع على نظام مجموعات Kubernetes الممكنة في Arc بطريقة مركزية ومتسقة. تعرّف على المزيد من خلال https://aka.ms/akspolicydoc. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات | تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة. | المراجعة، معطلة | 1.0.2 |
| إجراء تحليل الأثر الأمني | CMA_0057 - إجراء تحليل للتأثير الأمني | يدوي، معطل | 1.1.0 |
| تكوين الإجراءات للأجهزة غير المتوافقة | CMA_0062 - تكوين الإجراءات للأجهزة غير المتوافقة | يدوي، معطل | 1.1.0 |
| تطوير معيار إدارة الثغرات الأمنية وصيانته | CMA_0152 - تطوير وصيانة معيار إدارة الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| تطوير التكوينات الأساسية وصيانتها | CMA_0153 - تطوير التكوينات الأساسية وصيانتها | يدوي، معطل | 1.1.0 |
| فرض إعدادات تكوين الأمان | CMA_0249 - فرض إعدادات تكوين الأمان | يدوي، معطل | 1.1.0 |
| إنشاء لوحة تحكم التكوين | CMA_0254 - إنشاء لوحة تحكم التكوين | يدوي، معطل | 1.1.0 |
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| إنشاء خطة إدارة تكوين وتوثيقها | CMA_0264 - إنشاء خطة إدارة تكوين وتوثيقها | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
| إنشاء متطلبات إدارة التكوين للمطورين | CMA_0270 - إنشاء متطلبات إدارة التكوين للمطورين | يدوي، معطل | 1.1.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| تنفيذ أداة إدارة تكوين تلقائية | CMA_0311 - تنفيذ أداة إدارة تكوين تلقائية | يدوي، معطل | 1.1.0 |
| يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة | فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.3.0 |
| يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة | قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.2.0 |
| يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط | استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.3.0 |
| يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.3.0 |
| يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط | تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
| يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
| يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي | يجب تعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائياً لمنع مورد Pod الذي يُحتمل تعرضه للخطر لتشغيل أوامر واجهة برمجة التطبيقات ضد مجموعات Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.2.0 |
| يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.2.0 |
| المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN | لتقليل السطح المعرض للهجوم في الحاويات الخاصة بك، قم بتقييد قدرات CAP_SYS_ADMIN Linux. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية | يجب منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به لأنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.2.0 |
| يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.2.0 |
| يجب تثبيت امتدادات الجهاز الظاهري المعتمدة فقط | يحكم هذا النهج ملحقات الجهاز الظاهري غير المعتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| إجراء تقييم تأثير الخصوصية | CMA_0387 - إجراء تقييم لتأثير الخصوصية | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
| إجراء التدقيق للتحكم في تغيير التكوين | CMA_0390 - إجراء تدقيق للتحكم في تغيير التكوين | يدوي، معطل | 1.1.0 |
| يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها | تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.0.0 |
التخفيف من المخاطر
أنشطة التخفيف من المخاطر
المعرف: SOC 2 Type 2 CC9.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد احتياجات حماية المعلومات | CMA_C1750 - تحديد احتياجات حماية المعلومات | يدوي، معطل | 1.1.0 |
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
إدارة المخاطر للموردين وشركاء الأعمال
المعرف: SOC 2 النوع 2 CC9.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم المخاطر في علاقات الجهات الخارجية | CMA_0014 - تقييم المخاطر في علاقات الجهات الخارجية | يدوي، معطل | 1.1.0 |
| تحديد متطلبات توريد السلع والخدمات | CMA_0126 - تحديد متطلبات توريد السلع والخدمات | يدوي، معطل | 1.1.0 |
| تحديد واجبات المعالجات | CMA_0127 - تحديد واجبات المعالجات | يدوي، معطل | 1.1.0 |
| تحديد الالتزامات التعاقدية للمورد | CMA_0140 - تحديد التزامات عقد المورد | يدوي، معطل | 1.1.0 |
| توثيق معايير قبول عقد الاستحواذ | CMA_0187 - معايير قبول عقد الحصول على المستندات | يدوي، معطل | 1.1.0 |
| حماية مستندات البيانات الشخصية في عقود الاستحواذ | CMA_0194 - حماية المستندات للبيانات الشخصية في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| حماية مستندات معلومات الأمان في عقود الاستحواذ | CMA_0195 - حماية المستندات لمعلومات الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق متطلبات استخدام البيانات المشتركة في العقود | CMA_0197 - متطلبات المستند لاستخدام البيانات المشتركة في العقود | يدوي، معطل | 1.1.0 |
| متطلبات ضمان أمان المستندات في عقود الاستحواذ | CMA_0199 - توثيق متطلبات ضمان الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات توثيق أمان المستندات في عقد الاستحواذ | CMA_0200 - توثيق متطلبات وثائق الأمان في عقد الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | CMA_0201 - توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات قوة أمان المستندات في عقود الاستحواذ | CMA_0203 - توثيق متطلبات قوة الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق بيئة نظام المعلومات في عقود الاستحواذ | CMA_0205 - توثيق بيئة نظام المعلومات في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | CMA_0207 - توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | يدوي، معطل | 1.1.0 |
| وضع سياسات لإدارة مخاطر سلسلة التوريد | CMA_0275 - وضع سياسات لإدارة مخاطر سلسلة التوريد | يدوي، معطل | 1.1.0 |
| تحديد متطلبات أمان الموظفين التابعين لجهة خارجية | CMA_C1529 - تحديد متطلبات أمان الموظفين التابعين لجهة خارجية | يدوي، معطل | 1.1.0 |
| مراقبة توافق الموفر التابع لجهة خارجية | CMA_C1533 - مراقبة توافق موفري الجهات الخارجية | يدوي، معطل | 1.1.0 |
| تسجيل الكشف عن PII لجهات خارجية | CMA_0422 - تسجيل الكشف عن معلومات التعريف الشخصية لجهات خارجية | يدوي، معطل | 1.1.0 |
| مطالبة الموفرين التابعين لجهات لخارجية بالامتثال لإجراءات أمن الموظفين والنُهج | CMA_C1530 - مطالبة موفري الجهات الخارجية بالامتثال لسياسات وإجراءات أمن الموظفين | يدوي، معطل | 1.1.0 |
| تدريب الموظفين على مشاركة PII ونتائجه | CMA_C1871 - تدريب الموظفين على مشاركة PII ونتائجها | يدوي، معطل | 1.1.0 |
معايير إضافية للخصوصية
إشعار الخصوصية
المعرف: SOC 2 Type 2 P1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توثيق نهج الخصوصية وتوزيعه | CMA_0188 - توثيق نهج الخصوصية وتوزيعه | يدوي، معطل | 1.1.0 |
| التأكد من إتاحة معلومات برنامج الخصوصية للجمهور | CMA_C1867 - التأكد من توفر معلومات برنامج الخصوصية بشكل عام | يدوي، معطل | 1.1.0 |
| تنفيذ أساليب تسليم إشعار الخصوصية | CMA_0324 - تنفيذ أساليب تسليم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| تقديم إشعار الخصوصية | CMA_0414 - تقديم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| تقديم إشعار الخصوصية للجمهور وللأفراد | CMA_C1861 - تقديم إشعار الخصوصية للجمهور والأفراد | يدوي، معطل | 1.1.0 |
الموافقة على الخصوصية
المعرف: SOC 2 Type 2 P2.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توثيق قبول الموظفين لمتطلبات الخصوصية | CMA_0193 - قبول موظفي المستندات لمتطلبات الخصوصية | يدوي، معطل | 1.1.0 |
| تنفيذ أساليب تسليم إشعار الخصوصية | CMA_0324 - تنفيذ أساليب تسليم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| الحصول على الموافقة قبل جمع البيانات الشخصية أو معالجتها | CMA_0385 - الحصول على الموافقة قبل جمع البيانات الشخصية أو معالجتها | يدوي، معطل | 1.1.0 |
| تقديم إشعار الخصوصية | CMA_0414 - تقديم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
تجميع المعلومات الشخصية بشكل متسق
المعرف: SOC 2 النوع 2 P3.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد السلطة القانونية لجمع PII | CMA_C1800 - تحديد السلطة القانونية لجمع معلومات التعريف الشخصية | يدوي، معطل | 1.1.0 |
| توثيق العملية لضمان سلامة PII | CMA_C1827 - عملية المستند لضمان تكامل PII | يدوي، معطل | 1.1.0 |
| تقييم حيازات PII ومراجعتها بانتظام | CMA_C1832 - تقييم ومراجعة حيازات PII بانتظام | يدوي، معطل | 1.1.0 |
| الحصول على الموافقة قبل جمع البيانات الشخصية أو معالجتها | CMA_0385 - الحصول على الموافقة قبل جمع البيانات الشخصية أو معالجتها | يدوي، معطل | 1.1.0 |
الموافقة الصريحة على المعلومات الشخصية
المعرف: SOC 2 النوع 2 P3.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| جمع PII مباشرة من الفرد | CMA_C1822 - جمع PII مباشرة من الفرد | يدوي، معطل | 1.1.0 |
| الحصول على الموافقة قبل جمع البيانات الشخصية أو معالجتها | CMA_0385 - الحصول على الموافقة قبل جمع البيانات الشخصية أو معالجتها | يدوي، معطل | 1.1.0 |
استخدام المعلومات الشخصية
المعرف: SOC 2 النوع 2 P4.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توثيق الأساس القانوني لمعالجة المعلومات الشخصية | CMA_0206 - توثيق الأساس القانوني لمعالجة المعلومات الشخصية | يدوي، معطل | 1.1.0 |
| تنفيذ أساليب تسليم إشعار الخصوصية | CMA_0324 - تنفيذ أساليب تسليم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| الحصول على الموافقة قبل جمع البيانات الشخصية أو معالجتها | CMA_0385 - الحصول على الموافقة قبل جمع البيانات الشخصية أو معالجتها | يدوي، معطل | 1.1.0 |
| تقديم إشعار الخصوصية | CMA_0414 - تقديم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| تقييد الاتصالات | CMA_0449 - تقييد الاتصالات | يدوي، معطل | 1.1.0 |
استبقاء المعلومات الشخصية
المعرف: SOC 2 النوع 2 P4.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| توثيق العملية لضمان سلامة PII | CMA_C1827 - عملية المستند لضمان تكامل PII | يدوي، معطل | 1.1.0 |
التخلص من المعلومات الشخصية
المعرف: SOC 2 النوع 2 P4.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء مراجعة التصرّف | CMA_0391 - إجراء مراجعة الترتيب | يدوي، معطل | 1.1.0 |
| التحقق من حذف البيانات الشخصية في نهاية المعالجة | CMA_0540 - التحقق من حذف البيانات الشخصية في نهاية المعالجة | يدوي، معطل | 1.1.0 |
الوصول إلى المعلومات الشخصية
المعرف: SOC 2 النوع 2 P5.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ أساليب لطلبات المستهلكين | CMA_0319 - تنفيذ أساليب لطلبات المستهلكين | يدوي، معطل | 1.1.0 |
| نشر القواعد واللوائح للوصول إلى سجلات قانون الخصوصية | CMA_C1847 - نشر القواعد واللوائح التي تصل إلى سجلات قانون الخصوصية | يدوي، معطل | 1.1.0 |
تصحيح المعلومات الشخصية
المعرف: SOC 2 النوع 2 P5.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الاستجابة لطلبات التصحيح | CMA_0442 - الاستجابة لطلبات التصحيح | يدوي، معطل | 1.1.0 |
الكشف عن المعلومات الشخصية من جهة خارجية
المعرف: SOC 2 النوع 2 P6.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد واجبات المعالجات | CMA_0127 - تحديد واجبات المعالجات | يدوي، معطل | 1.1.0 |
| تحديد الالتزامات التعاقدية للمورد | CMA_0140 - تحديد التزامات عقد المورد | يدوي، معطل | 1.1.0 |
| توثيق معايير قبول عقد الاستحواذ | CMA_0187 - معايير قبول عقد الحصول على المستندات | يدوي، معطل | 1.1.0 |
| حماية مستندات البيانات الشخصية في عقود الاستحواذ | CMA_0194 - حماية المستندات للبيانات الشخصية في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| حماية مستندات معلومات الأمان في عقود الاستحواذ | CMA_0195 - حماية المستندات لمعلومات الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق متطلبات استخدام البيانات المشتركة في العقود | CMA_0197 - متطلبات المستند لاستخدام البيانات المشتركة في العقود | يدوي، معطل | 1.1.0 |
| متطلبات ضمان أمان المستندات في عقود الاستحواذ | CMA_0199 - توثيق متطلبات ضمان الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات توثيق أمان المستندات في عقد الاستحواذ | CMA_0200 - توثيق متطلبات وثائق الأمان في عقد الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | CMA_0201 - توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات قوة أمان المستندات في عقود الاستحواذ | CMA_0203 - توثيق متطلبات قوة الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق بيئة نظام المعلومات في عقود الاستحواذ | CMA_0205 - توثيق بيئة نظام المعلومات في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | CMA_0207 - توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | يدوي، معطل | 1.1.0 |
| تحديد متطلبات الخصوصية للمتعاقدين وموفري الخدمات | CMA_C1810 - تحديد متطلبات الخصوصية للمقاولين ومقدمي الخدمات | يدوي، معطل | 1.1.0 |
| تسجيل الكشف عن PII لجهات خارجية | CMA_0422 - تسجيل الكشف عن معلومات التعريف الشخصية لجهات خارجية | يدوي، معطل | 1.1.0 |
| تدريب الموظفين على مشاركة PII ونتائجه | CMA_C1871 - تدريب الموظفين على مشاركة PII ونتائجها | يدوي، معطل | 1.1.0 |
الكشف المصرح به عن سجل المعلومات الشخصية
المعرف: SOC 2 النوع 2 P6.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الاحتفاظ بمحاسبة دقيقة للكشف عن المعلومات | CMA_C1818 - الاحتفاظ بمحاسبة دقيقة للكشف عن المعلومات | يدوي، معطل | 1.1.0 |
الكشف غير المصرح به عن سجل المعلومات الشخصية
المعرف: SOC 2 النوع 2 P6.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الاحتفاظ بمحاسبة دقيقة للكشف عن المعلومات | CMA_C1818 - الاحتفاظ بمحاسبة دقيقة للكشف عن المعلومات | يدوي، معطل | 1.1.0 |
اتفاقيات الجهات الخارجية
المعرف: SOC 2 النوع 2 P6.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد واجبات المعالجات | CMA_0127 - تحديد واجبات المعالجات | يدوي، معطل | 1.1.0 |
إعلام بالكشف غير المصرح به لجهة خارجية
المعرف: SOC 2 النوع 2 P6.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد الالتزامات التعاقدية للمورد | CMA_0140 - تحديد التزامات عقد المورد | يدوي، معطل | 1.1.0 |
| توثيق معايير قبول عقد الاستحواذ | CMA_0187 - معايير قبول عقد الحصول على المستندات | يدوي، معطل | 1.1.0 |
| حماية مستندات البيانات الشخصية في عقود الاستحواذ | CMA_0194 - حماية المستندات للبيانات الشخصية في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| حماية مستندات معلومات الأمان في عقود الاستحواذ | CMA_0195 - حماية المستندات لمعلومات الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق متطلبات استخدام البيانات المشتركة في العقود | CMA_0197 - متطلبات المستند لاستخدام البيانات المشتركة في العقود | يدوي، معطل | 1.1.0 |
| متطلبات ضمان أمان المستندات في عقود الاستحواذ | CMA_0199 - توثيق متطلبات ضمان الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات توثيق أمان المستندات في عقد الاستحواذ | CMA_0200 - توثيق متطلبات وثائق الأمان في عقد الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | CMA_0201 - توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات قوة أمان المستندات في عقود الاستحواذ | CMA_0203 - توثيق متطلبات قوة الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق بيئة نظام المعلومات في عقود الاستحواذ | CMA_0205 - توثيق بيئة نظام المعلومات في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | CMA_0207 - توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | يدوي، معطل | 1.1.0 |
| أمان المعلومات وحماية البيانات الشخصية | CMA_0332 - أمن المعلومات وحماية البيانات الشخصية | يدوي، معطل | 1.1.0 |
إعلام حدث الخصوصية
المعرف: SOC 2 النوع 2 P6.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| أمان المعلومات وحماية البيانات الشخصية | CMA_0332 - أمن المعلومات وحماية البيانات الشخصية | يدوي، معطل | 1.1.0 |
محاسبة الكشف عن المعلومات الشخصية
المعرف: SOC 2 Type 2 P6.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ أساليب تسليم إشعار الخصوصية | CMA_0324 - تنفيذ أساليب تسليم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| الاحتفاظ بمحاسبة دقيقة للكشف عن المعلومات | CMA_C1818 - الاحتفاظ بمحاسبة دقيقة للكشف عن المعلومات | يدوي، معطل | 1.1.0 |
| إتاحة المحاسبة على عمليات الإفصاح عند الطلب | CMA_C1820 - إتاحة المحاسبة على الإفصاحات عند الطلب | يدوي، معطل | 1.1.0 |
| تقديم إشعار الخصوصية | CMA_0414 - تقديم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| تقييد الاتصالات | CMA_0449 - تقييد الاتصالات | يدوي، معطل | 1.1.0 |
جودة المعلومات الشخصية
المعرف: SOC 2 النوع 2 P7.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تأكيد جودة PII وسلامته | CMA_C1821 - تأكيد جودة وتكامل PII | يدوي، معطل | 1.1.0 |
| إصدار إرشادات لضمان جودة البيانات وسلامتها | CMA_C1824 - إصدار إرشادات لضمان جودة البيانات وتكاملها | يدوي، معطل | 1.1.0 |
| التحقق من معلومات التعريف الشخصية غير الدقيقة أو القديمة | CMA_C1823 - التحقق من PII غير الدقيق أو القديم | يدوي، معطل | 1.1.0 |
إدارة شكاوى الخصوصية وإدارة التوافق
المعرف: SOC 2 Type 2 P8.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توثيق إجراءات شكوَى الخصوصية وتنفيذها | CMA_0189 - توثيق إجراءات شكاوى الخصوصية وتنفيذها | يدوي، معطل | 1.1.0 |
| تقييم حيازات PII ومراجعتها بانتظام | CMA_C1832 - تقييم ومراجعة حيازات PII بانتظام | يدوي، معطل | 1.1.0 |
| أمان المعلومات وحماية البيانات الشخصية | CMA_0332 - أمن المعلومات وحماية البيانات الشخصية | يدوي، معطل | 1.1.0 |
| الاستجابة للشكاوى أو المخاوف أو الأسئلة في الوقت المناسب | CMA_C1853 - الاستجابة للشكاوى أو المخاوف أو الأسئلة في الوقت المناسب | يدوي، معطل | 1.1.0 |
| تدريب الموظفين على مشاركة PII ونتائجه | CMA_C1871 - تدريب الموظفين على مشاركة PII ونتائجها | يدوي، معطل | 1.1.0 |
معايير إضافية لمعالجة التكامل
تعريفات معالجة البيانات
المعرف: SOC 2 Type 2 PI1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ أساليب تسليم إشعار الخصوصية | CMA_0324 - تنفيذ أساليب تسليم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| تقديم إشعار الخصوصية | CMA_0414 - تقديم إشعار الخصوصية | يدوي، معطل | 1.1.0 |
| تقييد الاتصالات | CMA_0449 - تقييد الاتصالات | يدوي، معطل | 1.1.0 |
مدخلات النظام على الاكتمال والدقة
المعرف: SOC 2 Type 2 PI1.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء التحقق من صحة إدخال المعلومات | CMA_C1723 - إجراء التحقق من صحة إدخال المعلومات | يدوي، معطل | 1.1.0 |
معالجة النظام
المعرف: SOC 2 Type 2 PI1.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| إنشاء رسائل الأخطاء | CMA_C1724 - إنشاء رسائل خطأ | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
| إجراء التحقق من صحة إدخال المعلومات | CMA_C1723 - إجراء التحقق من صحة إدخال المعلومات | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
إخراج النظام كامل ودقيق وفي الوقت المناسب
المعرف: SOC 2 Type 2 PI1.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
تخزين المدخلات والمخرجات بالكامل وبدقة وفي الوقت المناسب
المعرف: SOC 2 Type 2 PI1.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| إنشاء إجراءات النسخ الاحتياطي ونُهجه | CMA_0268 - إنشاء نهج وإجراءات النسخ الاحتياطي | يدوي، معطل | 1.1.0 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
| تخزين معلومات النسخ الاحتياطي بشكل منفصل | CMA_C1293 - تخزين معلومات النسخ الاحتياطي بشكل منفصل | يدوي، معطل | 1.1.0 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.