A CMMC 3. szintű szabályozási megfelelőségi beépített kezdeményezésének részletei
Az alábbi cikk azt ismerteti, hogy az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója hogyan képez le megfelelőségi tartományokra és -vezérlőkre a CMMC 3. szintjén. Erről a megfelelőségi szabványról további információt a CMMC 3. szintjén talál. A tulajdonjog megértéséhez tekintse át a szabályzat típusát és a felhő megosztott felelősségét.
Az alábbi leképezések a CMMC 3 . szintű vezérlőihez tartoznak. Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki a CMMC 3 . szintű szabályozási megfelelőség beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
Hozzáférés-vezérlés
Korlátozza az információs rendszerek hozzáférését a jogosult felhasználókhoz, a jogosult felhasználók nevében eljáró folyamatokhoz és eszközökhöz (beleértve az egyéb információs rendszereket is).
Azonosító: CMMC L3 AC.1.001 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 3.1.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat, vagy le kell tiltani a nyilvános hálózati hozzáférést | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető a nyilvános IP-címek számára, vagy tiltsa le a nyilvános hálózati hozzáférést a kulcstartóhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security és https://aka.ms/akvprivatelink | Naplózás, megtagadás, letiltva | 3.3.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A CORS nem engedélyezheti minden tartomány számára az API elérését az FHIR-hez | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az FHIR API elérését. Az FHIR API védelméhez távolítsa el az összes tartomány hozzáférését, és explicit módon határozza meg a csatlakozáshoz engedélyezett tartományokat. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas MySQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása javítja a biztonságot, mert biztosítja, hogy a rugalmas Azure Database for MySQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.2.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas PostgreSQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letiltja az IP-alapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 3.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Szerepköralapú hozzáférés-vezérlést (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.4 |
| A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.1 |
| A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában, beleértve a névtelen felhasználók hozzáférését, a helyi fiókokat és a beállításjegyzékhez való távoli hozzáférést. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Korlátozza az információs rendszer hozzáférését azokhoz a tranzakciókhoz és függvényekhez, amelyek végrehajtására jogosult felhasználók jogosultak.
Azonosító: CMMC L3 AC.1.002 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 3.1.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat, vagy le kell tiltani a nyilvános hálózati hozzáférést | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető a nyilvános IP-címek számára, vagy tiltsa le a nyilvános hálózati hozzáférést a kulcstartóhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security és https://aka.ms/akvprivatelink | Naplózás, megtagadás, letiltva | 3.3.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A CORS nem engedélyezheti minden tartomány számára az API elérését az FHIR-hez | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az FHIR API elérését. Az FHIR API védelméhez távolítsa el az összes tartomány hozzáférését, és explicit módon határozza meg a csatlakozáshoz engedélyezett tartományokat. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas MySQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása javítja a biztonságot, mert biztosítja, hogy a rugalmas Azure Database for MySQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.2.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas PostgreSQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letiltja az IP-alapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 3.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Szerepköralapú hozzáférés-vezérlést (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.4 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.1 |
| A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában, beleértve a névtelen felhasználók hozzáférését, a helyi fiókokat és a beállításjegyzékhez való távoli hozzáférést. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Külső információs rendszerek kapcsolatainak ellenőrzése és szabályozása/korlátozása.
Azonosító: CMMC L3 AC.1.003 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Alkalmazza a minimális jogosultság elvét, beleértve az adott biztonsági függvényeket és a kiemelt fiókokat is.
Azonosító: CMMC L3 AC.2.007 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| Szerepköralapú hozzáférés-vezérlést (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.4 |
Nem emelt jogosultságú fiókokat vagy szerepköröket használjon a nem biztonsági függvényekhez való hozzáféréskor.
Azonosító: CMMC L3 AC.2.008 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Felhasználói fiókok felügyelete" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Felhasználói fiók vezérlése" kategóriában a rendszergazdák üzemmódjához, a jogosultságszint-emelési kérés viselkedéséhez, valamint a fájl- és beállításjegyzék írási hibáinak virtualizálásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a felhasználói jogok hozzárendelésére vonatkozó követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Felhasználói jogok hozzárendelése" kategóriában, hogy engedélyezhessék a helyi bejelentkezést, az RDP-t, a hálózati hozzáférést és sok más felhasználói tevékenységet. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Távelérési munkamenetek monitorozása és vezérlése.
Azonosító: CMMC L3 AC.2.013 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 3.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
A CUI folyamatának szabályozása a jóváhagyott engedélyekkel összhangban.
Azonosító: CMMC L3 AC.2.016 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A CORS nem engedélyezheti minden tartomány számára az API elérését az FHIR-hez | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az FHIR API elérését. Az FHIR API védelméhez távolítsa el az összes tartomány hozzáférését, és explicit módon határozza meg a csatlakozáshoz engedélyezett tartományokat. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas MySQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása javítja a biztonságot, mert biztosítja, hogy a rugalmas Azure Database for MySQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.2.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas PostgreSQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letiltja az IP-alapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 3.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Szerepköralapú hozzáférés-vezérlést (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.4 |
| A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.1 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában, beleértve a névtelen felhasználók hozzáférését, a helyi fiókokat és a beállításjegyzékhez való távoli hozzáférést. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Különítse el az egyének feladatait, hogy az összejátszás nélkül csökkentse a rosszindulatú tevékenység kockázatát.
Azonosító: CMMC L3 AC.3.017 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| A Rendszergazdák csoport egyik megadott tagját nem futtató Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport nem tartalmaz egy vagy több olyan tagot, amely szerepel a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| A Rendszergazdák csoportban megadott tagokkal rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport egy vagy több tagot tartalmaz a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
Megakadályozza, hogy a nem kiemelt felhasználók kiemelt függvényeket hajtanak végre, és rögzítsék az ilyen függvények végrehajtását az auditnaplókban.
Azonosító: CMMC L3 AC.3.018 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott felügyeleti műveletekhez | Ez a szabályzat naplózza az adott felügyeleti műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Jogosultsági használat" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Jogosultsági használat" kategóriában a nem érzéketlen és más jogosultsági felhasználás naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
A kiemelt parancsok távoli végrehajtásának engedélyezése és a biztonsággal kapcsolatos információkhoz való távoli hozzáférés engedélyezése.
Azonosító: CMMC L3 AC.3.021 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott felügyeleti műveletekhez | Ez a szabályzat naplózza az adott felügyeleti műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Felhasználói fiókok felügyelete" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Felhasználói fiók vezérlése" kategóriában a rendszergazdák üzemmódjához, a jogosultságszint-emelési kérés viselkedéséhez, valamint a fájl- és beállításjegyzék írási hibáinak virtualizálásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a felhasználói jogok hozzárendelésére vonatkozó követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Felhasználói jogok hozzárendelése" kategóriában, hogy engedélyezhessék a helyi bejelentkezést, az RDP-t, a hálózati hozzáférést és sok más felhasználói tevékenységet. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Naplózás és elszámoltathatóság
Győződjön meg arról, hogy az egyes rendszerfelhasználók műveletei egyedileg nyomon követhetők ezekre a felhasználókra, hogy felelősségre vonhatók legyenek a tevékenységeikért.
Azonosító: CMMC L3 AU.2.041 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| Tevékenységnapló-riasztásnak kell léteznie adott felügyeleti műveletekhez | Ez a szabályzat naplózza az adott felügyeleti műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása | A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása. Ügyeljen arra, hogy csak olyan erőforrástípusokat válasszon, amelyek támogatják a diagnosztikai beállításokat. | AuditIfNotExists | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Monitor naplóprofiljának naplókat kell gyűjtenie az "írás", a "törlés" és a "művelet" kategóriákhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil gyűjtsön naplókat az "írás", a "törlés" és a "művelet" kategóriákhoz | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Monitornak minden régióból be kell gyűjtenie a tevékenységnaplókat | Ez a szabályzat naplózza az Azure Monitor naplóprofilt, amely nem exportál tevékenységeket az összes Azure-támogatás régióból, beleértve a globálist is. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1 |
| A Log Analytics-bővítményt telepíteni kell a virtuálisgép-méretezési csoportokra | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuálisgép-méretezési csoportokat, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni | Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. | AuditIfNotExists, Disabled | 1.1.0 |
| A virtuális gépeken telepítve kell lennie a Log Analytics-bővítménynek | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
Rendszernaplók és -rekordok létrehozása és megőrzése a jogellenes vagy jogosulatlan rendszertevékenységek monitorozásához, elemzéséhez, vizsgálatához és jelentéséhez szükséges mértékben.
Azonosító: CMMC L3 AU.2.042 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| A tevékenységnaplót legalább egy évig meg kell őrizni | Ez a szabályzat naplózza a tevékenységnaplót, ha a megőrzés nincs beállítva 365 napra vagy örökre (a megőrzési napok értéke 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott felügyeleti műveletekhez | Ez a szabályzat naplózza az adott felügyeleti műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása | A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása. Ügyeljen arra, hogy csak olyan erőforrástípusokat válasszon, amelyek támogatják a diagnosztikai beállításokat. | AuditIfNotExists | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Monitornak minden régióból be kell gyűjtenie a tevékenységnaplókat | Ez a szabályzat naplózza az Azure Monitor naplóprofilt, amely nem exportál tevékenységeket az összes Azure-támogatás régióból, beleértve a globálist is. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1 |
| A Log Analytics-bővítményt telepíteni kell a virtuálisgép-méretezési csoportokra | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuálisgép-méretezési csoportokat, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni | Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. | AuditIfNotExists, Disabled | 1.1.0 |
| A virtuális gépeken telepítve kell lennie a Log Analytics-bővítménynek | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
Riasztás naplózási folyamat meghiúsulása esetén.
Azonosító: CMMC L3 AU.3.046 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása | A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása. Ügyeljen arra, hogy csak olyan erőforrástípusokat válasszon, amelyek támogatják a diagnosztikai beállításokat. | AuditIfNotExists | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1 |
| A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni | Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. | AuditIfNotExists, Disabled | 1.1.0 |
Gyűjtsön naplózási adatokat (például naplókat) egy vagy több központi adattárba.
Azonosító: CMMC L3 AU.3.048 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása | A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása. Ügyeljen arra, hogy csak olyan erőforrástípusokat válasszon, amelyek támogatják a diagnosztikai beállításokat. | AuditIfNotExists | 2.0.1 |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell az erőforrásnaplókat az IoT Hubon | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 3.1.0 |
| A Log Analytics-bővítményt telepíteni kell a virtuálisgép-méretezési csoportokra | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuálisgép-méretezési csoportokat, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni | Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. | AuditIfNotExists, Disabled | 1.1.0 |
| A virtuális gépeken telepítve kell lennie a Log Analytics-bővítménynek | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
A naplózási információk és a naplózási eszközök védelme a jogosulatlan hozzáférés, módosítás és törlés ellen.
Azonosító: CMMC L3 AU.3.049 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása | A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása. Ügyeljen arra, hogy csak olyan erőforrástípusokat válasszon, amelyek támogatják a diagnosztikai beállításokat. | AuditIfNotExists | 2.0.1 |
Biztonsági értékelés
A szervezeti rendszerek biztonsági vezérlőinek rendszeres felmérése annak megállapításához, hogy a vezérlők hatékonyak-e az alkalmazásukban.
Azonosító: CMMC L3 CA.2.158 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| A Security Center standard tarifacsomagját ki kell választani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését hálózatok és virtuális gépek számára, fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít az Azure Security Centerben | Naplózás, letiltva | 1.1.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
A biztonsági vezérlők folyamatos monitorozása a vezérlők folyamatos hatékonyságának biztosítása érdekében.
Azonosító: CMMC L3 CA.3.161 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| A Security Center standard tarifacsomagját ki kell választani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését hálózatok és virtuális gépek számára, fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít az Azure Security Centerben | Naplózás, letiltva | 1.1.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
Konfigurációkezelés
A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során.
Azonosító: CMMC L3 CM.2.061 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.2.0 |
Alkalmazza a minimális funkcionalitás elvét úgy, hogy a szervezeti rendszereket úgy konfigurálja, hogy csak az alapvető képességeket biztosítsa.
Azonosító: CMMC L3 CM.2.062 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szerepköralapú hozzáférés-vezérlést (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.4 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Jogosultsági használat" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Jogosultsági használat" kategóriában a nem érzéketlen és más jogosultsági felhasználás naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
A felhasználó által telepített szoftverek felügyelete és figyelése.
Azonosító: CMMC L3 CM.2.063 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Security Center standard tarifacsomagját ki kell választani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését hálózatok és virtuális gépek számára, fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít az Azure Security Centerben | Naplózás, letiltva | 1.1.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Felhasználói fiókok felügyelete" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Felhasználói fiók vezérlése" kategóriában a rendszergazdák üzemmódjához, a jogosultságszint-emelési kérés viselkedéséhez, valamint a fájl- és beállításjegyzék írási hibáinak virtualizálásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez.
Azonosító: CMMC L3 CM.2.064 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat, vagy le kell tiltani a nyilvános hálózati hozzáférést | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető a nyilvános IP-címek számára, vagy tiltsa le a nyilvános hálózati hozzáférést a kulcstartóhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security és https://aka.ms/akvprivatelink | Naplózás, megtagadás, letiltva | 3.3.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát arra kötelezi, hogy aktív legyen az Application Gateway összes webalkalmazási tűzfalszabályzatán. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Azure Front Door Service-hez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Azure Front Door Service webalkalmazási tűzfalszabályzatainak aktív használatára kötelezi. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
A szervezeti rendszerek változásainak nyomon követése, áttekintése, jóváhagyása vagy elutasítása és naplózása.
Azonosító: CMMC L3 CM.2.065 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott felügyeleti műveletekhez | Ez a szabályzat naplózza az adott felügyeleti műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Monitornak minden régióból be kell gyűjtenie a tevékenységnaplókat | Ez a szabályzat naplózza az Azure Monitor naplóprofilt, amely nem exportál tevékenységeket az összes Azure-támogatás régióból, beleértve a globálist is. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Szabályzatmódosítás" követelményeknek | A Windows rendszerű gépeken a rendszernaplózási szabályzatok változásainak naplózásához a megadott csoportházirend-beállításoknak kell rendelkezniük a "Rendszernaplózási szabályzatok – Szabályzatmódosítás" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
A nem alapvető programok, függvények, portok, protokollok és szolgáltatások használatának korlátozása, letiltása vagy megakadályozása.
Azonosító: CMMC L3 CM.3.068 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A CORS nem engedélyezheti minden tartomány számára az API elérését az FHIR-hez | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az FHIR API elérését. Az FHIR API védelméhez távolítsa el az összes tartomány hozzáférését, és explicit módon határozza meg a csatlakozáshoz engedélyezett tartományokat. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas MySQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása javítja a biztonságot, mert biztosítja, hogy a rugalmas Azure Database for MySQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.2.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas PostgreSQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letiltja az IP-alapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 3.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.1 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
Azonosítás és hitelesítés
A szervezeti információs rendszerekhez való hozzáférés engedélyezésének előfeltételeként hitelesítse (vagy ellenőrizze) ezen felhasználók, folyamatok vagy eszközök identitásait.
Azonosító: CMMC L3 IA.1.077 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva | AuditIfNotExists, Disabled | 3.1.0 |
| Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal | AuditIfNotExists, Disabled | 3.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Új jelszavak létrehozásakor a jelszó minimális összetettségének és a karakterek módosításának kényszerítése.
Azonosító: CMMC L3 IA.2.078 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal | AuditIfNotExists, Disabled | 3.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyeken nincs engedélyezve a jelszó-összetettség beállítása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken nincs engedélyezve a jelszó-összetettség beállítása | AuditIfNotExists, Disabled | 2.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre. A jelszó minimális hosszának alapértelmezett értéke 14 karakter | AuditIfNotExists, Disabled | 2.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Jelszó újrafelhasználásának tiltása adott számú generáció esetében.
Azonosító: CMMC L3 IA.2.079 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek lehetővé teszik a jelszavak újbóli használatát a megadott számú egyedi jelszó után | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek lehetővé teszik a jelszavak ismételt használatát a megadott számú egyedi jelszó után. Az egyedi jelszavak alapértelmezett értéke 24 | AuditIfNotExists, Disabled | 2.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Csak kriptográfiailag védett jelszavak tárolása és továbbítása.
Azonosító: CMMC L3 IA.2.081 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Replay-rezisztens hitelesítési mechanizmusokat alkalmazhat a kiemelt és nemprivilegált fiókokhoz való hálózati hozzáféréshez.
Azonosító: CMMC L3 IA.3.084 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
Incidensmegoldás
Működési incidenskezelési képesség létrehozása a szervezeti rendszerek számára, amely magában foglalja az előkészítési, észlelési, elemzési, elszigetelési, helyreállítási és felhasználói választevékenységeket.
Azonosító: CMMC L3 IR.2.092 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Események észlelése és jelentése.
Azonosító: CMMC L3 IR.2.093 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat, vagy le kell tiltani a nyilvános hálózati hozzáférést | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető a nyilvános IP-címek számára, vagy tiltsa le a nyilvános hálózati hozzáférést a kulcstartóhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security és https://aka.ms/akvprivatelink | Naplózás, megtagadás, letiltva | 3.3.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az Advanced Threat Protection üzembe helyezése Cosmos DB-fiókokhoz | Ez a szabályzat lehetővé teszi az Advanced Threat Protection használatát Cosmos DB-fiókokban. | DeployIfNotExists, Disabled | 1.0.0 |
| A Defender for Storage (klasszikus) üzembe helyezése tárfiókokon | Ez a házirend lehetővé teszi a Defender for Storage (klasszikus) használatát a tárfiókokon. | DeployIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát arra kötelezi, hogy aktív legyen az Application Gateway összes webalkalmazási tűzfalszabályzatán. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Azure Front Door Service-hez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Azure Front Door Service webalkalmazási tűzfalszabályzatainak aktív használatára kötelezi. | Naplózás, megtagadás, letiltva | 1.0.0 |
Helyreállítási
Az adatok biztonsági mentéseinek rendszeres végrehajtása és tesztelése.
Azonosító: CMMC L3 RE.2.137 Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
A teljes, átfogó és rugalmas adatmentések rendszeres végrehajtása szervezetileg meghatározott módon.
Azonosító: CMMC L3 RE.3.139 Tulajdonos: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
Kockázatértékelés
Rendszeres időközönként értékelje a szervezeti műveletekre (beleértve a küldetést, a funkciókat, a rendszerképet vagy a jó hírnevét), a szervezeti eszközökre és az egyénekre vonatkozó kockázatokat, amelyek a szervezeti rendszerek működéséből, valamint a CUI feldolgozásából, tárolásából vagy továbbításából erednek.
Azonosító: CMMC L3 RM.2.141 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Security Center standard tarifacsomagját ki kell választani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését hálózatok és virtuális gépek számára, fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít az Azure Security Centerben | Naplózás, letiltva | 1.1.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
Rendszeresen vizsgálja meg a szervezeti rendszerek és alkalmazások biztonsági réseit, és ha új, az adott rendszereket és alkalmazásokat érintő biztonsági rések vannak azonosítva.
Azonosító: CMMC L3 RM.2.142 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Security Center standard tarifacsomagját ki kell választani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését hálózatok és virtuális gépek számára, fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít az Azure Security Centerben | Naplózás, letiltva | 1.1.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
A biztonsági rések elhárítása a kockázatértékelésekkel összhangban.
Azonosító: CMMC L3 RM.2.143 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Security Center standard tarifacsomagját ki kell választani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését hálózatok és virtuális gépek számára, fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít az Azure Security Centerben | Naplózás, letiltva | 1.1.0 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
Kockázatkezelés
Rendszeres időközönként végezzen kockázatértékelést a kockázatok meghatározott kockázati kategóriák, kockázati források és kockázatmérési kritériumok szerinti azonosítása és rangsorolása érdekében.
Azonosító: CMMC L3 RM.3.144 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Security Center standard tarifacsomagját ki kell választani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését hálózatok és virtuális gépek számára, fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít az Azure Security Centerben | Naplózás, letiltva | 1.1.0 |
System and Communications Protection
A kommunikáció (azaz a szervezeti rendszerek által továbbított vagy fogadott információk) figyelése, ellenőrzése és védelme a szervezeti rendszerek külső határain és legfontosabb belső határain.
Azonosító: CMMC L3 SC.1.175 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.1.0 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas MySQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása javítja a biztonságot, mert biztosítja, hogy a rugalmas Azure Database for MySQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.2.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas PostgreSQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letiltja az IP-alapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 3.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.1 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát arra kötelezi, hogy aktív legyen az Application Gateway összes webalkalmazási tűzfalszabályzatán. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Azure Front Door Service-hez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Azure Front Door Service webalkalmazási tűzfalszabályzatainak aktív használatára kötelezi. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában, beleértve a névtelen felhasználók hozzáférését, a helyi fiókokat és a beállításjegyzékhez való távoli hozzáférést. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Alhálózatok implementálása nyilvánosan elérhető rendszerösszetevőkhöz, amelyek fizikailag vagy logikailag elkülönülnek a belső hálózatoktól.
Azonosító: CMMC L3 SC.1.176 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
Használjon titkosított munkameneteket a hálózati eszközök kezeléséhez.
Azonosító: CMMC L3 SC.2.179 Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
A CUI titkosságának védelme érdekében FIPS által ellenőrzött titkosítást használjon.
Azonosító: CMMC L3 SC.3.177 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással | AuditIfNotExists, Disabled | 2.0.0 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure AI Services-erőforrásoknak inaktív állapotban kell titkosítaniuk az adatokat egy ügyfél által felügyelt kulccsal (CMK) | Az ügyfél által felügyelt kulcsok használata az inaktív adatok titkosításához nagyobb ellenőrzést biztosít a kulcs életciklusa felett, beleértve a rotációt és a felügyeletet is. Ez különösen fontos a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetek számára. Ez alapértelmezés szerint nem értékelhető, és csak akkor alkalmazható, ha a megfelelőségi vagy korlátozó szabályzati követelmények megkövetelik. Ha nincs engedélyezve, az adatok platform által felügyelt kulcsokkal lesznek titkosítva. Ennek implementálásához frissítse az "Effektus" paramétert a biztonsági szabályzatban az alkalmazandó hatókörhöz. | Naplózás, megtagadás, letiltva | 2.2.0 |
| Az Azure API for FHIR-nek ügyfél által felügyelt kulccsal kell titkosítania az inaktív adatokat | Az ügyfél által kezelt kulccsal szabályozhatja a titkosítást az Azure API for FHIR-ben tárolt többi adatnál, ha ez egy szabályozási vagy megfelelőségi követelmény. Az ügyfél által felügyelt kulcsok dupla titkosítást is biztosítanak, ha egy második titkosítási réteget ad hozzá a szolgáltatás által felügyelt kulcsokkal végzett alapértelmezett titkosítási réteghez. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
| Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását | Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Explorer inaktív titkosításának ügyfél által felügyelt kulcsot kell használnia | Ha az Azure Data Explorer-fürtön ügyfél által felügyelt kulccsal engedélyezi a inaktív titkosítást, további vezérlést biztosít a titkosítás által használt inaktív kulcs felett. Ez a funkció gyakran speciális megfelelőségi követelményekkel rendelkező ügyfelekre vonatkozik, és kulcstartóra van szükség a kulcsok kezeléséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Stream Analytics-feladatoknak ügyfél által felügyelt kulcsokat kell használniuk az adatok titkosításához | Az ügyfél által felügyelt kulcsokat akkor használja, ha biztonságosan szeretné tárolni a Stream Analytics-feladatok metaadatait és privát adategységeit a tárfiókban. Így teljes mértékben szabályozhatja a Stream Analytics-adatok titkosítását. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Synapse-munkaterületeknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal szabályozhatja a titkosítást az Azure Synapse-munkaterületeken tárolt többi adatnál. Az ügyfél által felügyelt kulcsok dupla titkosítást biztosítanak, ha egy második titkosítási réteget ad hozzá az alapértelmezett titkosításhoz a szolgáltatás által felügyelt kulcsokkal. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | Az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsok használatával történő titkosítása nagyobb vezérlést és nagyobb rugalmasságot biztosít a kulcskezelésben. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az RSA titkosítást használó tanúsítványoknak meg kell adni a minimális kulcsméretet | A szervezeti megfelelőségi követelmények kezelése a kulcstartóban tárolt RSA-tanúsítványok minimális kulcsméretének megadásával. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
| A lemeztitkosítást engedélyezni kell az Azure Data Explorerben | A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A dupla titkosítást engedélyezni kell az Azure Data Explorerben | A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for MySQL-kiszolgálókon | Az Azure Database for MySQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsok használatával. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for PostgreSQL-kiszolgálókon | Az Azure Database for PostgreSQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsokkal | Naplózás, megtagadás, letiltva | 1.0.0 |
| A kulcsnak a megadott RSA vagy EC titkosítási típusnak kell lennie | Egyes alkalmazásokhoz egy adott titkosítási típus által támogatott kulcsok használata szükséges. Kényszerítsen ki egy adott titkosítási kulcstípust (RSA vagy EC) a környezetben. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az elliptikus görbe titkosítását használó kulcsoknak a megadott görbenevekkel kell rendelkezniük | A háromliptikus görbék titkosítása által támogatott kulcsok eltérő görbenevekkel rendelkezhetnek. Egyes alkalmazások csak adott háromliptikus görbekulcsokkal kompatibilisek. Kényszerítse ki azokat a háromliptikus görbekulcsokat, amelyek a környezetben hozhatók létre. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az RSA titkosítást használó kulcsoknak meg kell adni a minimális kulcsméretet | Állítsa be a kulcstartókhoz használható minimálisan engedélyezett kulcsméretet. A kis kulcsméretű RSA-kulcsok használata nem biztonságos eljárás, és nem felel meg számos iparági minősítési követelménynek. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Titkosítás megkövetelése a Data Lake Store-fiókokon | Ez a szabályzat biztosítja, hogy a titkosítás minden Data Lake Store-fiókon engedélyezve legyen | elutasítás | 1.0.0 |
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük | Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
Architektúraterveket, szoftverfejlesztési technikákat és rendszermérnöki alapelveket alkalmazhat, amelyek elősegítik a hatékony információbiztonságot a szervezeti rendszereken belül.
Azonosító: CMMC L3 SC.3.180 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
A felhasználói funkciók elkülönítése a rendszerfelügyeleti funkcióktól.
Azonosító: CMMC L3 SC.3.181 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| A Rendszergazdák csoportban megadott tagokkal rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport egy vagy több tagot tartalmaz a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
Alapértelmezés szerint tiltsa le a hálózati kommunikáció forgalmát, és engedélyezze a hálózati kommunikációs forgalmat kivétel szerint (azaz az összes megtagadása, a kivétel szerinti engedélyezés).
Azonosító: CMMC L3 SC.3.183 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat, vagy le kell tiltani a nyilvános hálózati hozzáférést | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető a nyilvános IP-címek számára, vagy tiltsa le a nyilvános hálózati hozzáférést a kulcstartóhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security és https://aka.ms/akvprivatelink | Naplózás, megtagadás, letiltva | 3.3.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A CORS nem engedélyezheti minden tartomány számára az API elérését az FHIR-hez | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az FHIR API elérését. Az FHIR API védelméhez távolítsa el az összes tartomány hozzáférését, és explicit módon határozza meg a csatlakozáshoz engedélyezett tartományokat. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.1.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas MySQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása javítja a biztonságot, mert biztosítja, hogy a rugalmas Azure Database for MySQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.2.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas PostgreSQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letiltja az IP-alapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 3.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.1 |
| A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát arra kötelezi, hogy aktív legyen az Application Gateway összes webalkalmazási tűzfalszabályzatán. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Azure Front Door Service-hez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Azure Front Door Service webalkalmazási tűzfalszabályzatainak aktív használatára kötelezi. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában, beleértve a névtelen felhasználók hozzáférését, a helyi fiókokat és a beállításjegyzékhez való távoli hozzáférést. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Kriptográfiai mechanizmusokat implementálhat a CUI jogosulatlan közzétételének megakadályozására az átvitel során, kivéve, ha más módon alternatív fizikai biztosítékok védik.
Azonosító: CMMC L3 SC.3.185 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
A szervezeti rendszerekben alkalmazott titkosítási kulcsok létrehozása és kezelése.
Azonosító: CMMC L3 SC.3.187 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat, vagy le kell tiltani a nyilvános hálózati hozzáférést | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető a nyilvános IP-címek számára, vagy tiltsa le a nyilvános hálózati hozzáférést a kulcstartóhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security és https://aka.ms/akvprivatelink | Naplózás, megtagadás, letiltva | 3.3.0 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 3.0.0 |
| A kulcsnak a megadott RSA vagy EC titkosítási típusnak kell lennie | Egyes alkalmazásokhoz egy adott titkosítási típus által támogatott kulcsok használata szükséges. Kényszerítsen ki egy adott titkosítási kulcstípust (RSA vagy EC) a környezetben. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az elliptikus görbe titkosítását használó kulcsoknak a megadott görbenevekkel kell rendelkezniük | A háromliptikus görbék titkosítása által támogatott kulcsok eltérő görbenevekkel rendelkezhetnek. Egyes alkalmazások csak adott háromliptikus görbekulcsokkal kompatibilisek. Kényszerítse ki azokat a háromliptikus görbekulcsokat, amelyek a környezetben hozhatók létre. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az RSA titkosítást használó kulcsoknak meg kell adni a minimális kulcsméretet | Állítsa be a kulcstartókhoz használható minimálisan engedélyezett kulcsméretet. A kis kulcsméretű RSA-kulcsok használata nem biztonságos eljárás, és nem felel meg számos iparági minősítési követelménynek. | Naplózás, megtagadás, letiltva | 1.0.1 |
A kommunikációs munkamenetek hitelességének védelme.
Azonosító: CMMC L3 SC.3.190 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| Az RSA titkosítást használó tanúsítványoknak meg kell adni a minimális kulcsméretet | A szervezeti megfelelőségi követelmények kezelése a kulcstartóban tárolt RSA-tanúsítványok minimális kulcsméretének megadásával. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
A CUI inaktív állapotban lévő bizalmasságának védelme.
Azonosító: CMMC L3 SC.3.191 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását | Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A lemeztitkosítást engedélyezni kell az Azure Data Explorerben | A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A dupla titkosítást engedélyezni kell az Azure Data Explorerben | A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for MySQL-kiszolgálókon | Az Azure Database for MySQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsok használatával. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for PostgreSQL-kiszolgálókon | Az Azure Database for PostgreSQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsokkal | Naplózás, megtagadás, letiltva | 1.0.0 |
| Titkosítás megkövetelése a Data Lake Store-fiókokon | Ez a szabályzat biztosítja, hogy a titkosítás minden Data Lake Store-fiókon engedélyezve legyen | elutasítás | 1.0.0 |
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük | Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
Rendszer- és információintegritás
Az információs és információs rendszer hibáinak azonosítása, jelentése és javítása időben.
Azonosító: CMMC L3 SI.1.210 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
| Az Azure-hoz készült Microsoft Antimalware-t úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat | Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva a Microsoft Antimalware védelmi aláírásainak automatikus frissítésével. | AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
Biztosítson védelmet a rosszindulatú kódok ellen a szervezeti információs rendszerek megfelelő helyeinél.
Azonosító: CMMC L3 SI.1.211 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-hoz készült Microsoft Antimalware-t úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat | Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva a Microsoft Antimalware védelmi aláírásainak automatikus frissítésével. | AuditIfNotExists, Disabled | 1.0.0 |
| A Microsoft IaaSAntimalware bővítményt Windows-kiszolgálókon kell üzembe helyezni | Ez a szabályzat a Microsoft IaaSAntimalware bővítmény üzembe helyezése nélkül naplóz minden Windows Server rendszerű virtuális gépet. | AuditIfNotExists, Disabled | 1.1.0 |
Ha új kiadások érhetők el, frissítse a rosszindulatú kódvédelmi mechanizmusokat.
Azonosító: CMMC L3 SI.1.212 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-hoz készült Microsoft Antimalware-t úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat | Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva a Microsoft Antimalware védelmi aláírásainak automatikus frissítésével. | AuditIfNotExists, Disabled | 1.0.0 |
Végezze el az információs rendszer rendszeres vizsgálatát és a külső forrásokból származó fájlok valós idejű vizsgálatát a fájlok letöltése, megnyitása vagy végrehajtása során.
Azonosító: CMMC L3 SI.1.213 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure-hoz készült Microsoft Antimalware-t úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat | Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva a Microsoft Antimalware védelmi aláírásainak automatikus frissítésével. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Microsoft IaaSAntimalware bővítményt Windows-kiszolgálókon kell üzembe helyezni | Ez a szabályzat a Microsoft IaaSAntimalware bővítmény üzembe helyezése nélkül naplóz minden Windows Server rendszerű virtuális gépet. | AuditIfNotExists, Disabled | 1.1.0 |
Figyelheti a szervezeti rendszereket, beleértve a bejövő és kimenő kommunikációs forgalmat is, hogy észlelje a támadásokat és a lehetséges támadások jelzéseit.
Azonosító: CMMC L3 SI.2.216 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Tevékenységnapló-riasztásnak kell léteznie adott felügyeleti műveletekhez | Ez a szabályzat naplózza az adott felügyeleti műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Monitornak minden régióból be kell gyűjtenie a tevékenységnaplókat | Ez a szabályzat naplózza az Azure Monitor naplóprofilt, amely nem exportál tevékenységeket az összes Azure-támogatás régióból, beleértve a globálist is. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát arra kötelezi, hogy aktív legyen az Application Gateway összes webalkalmazási tűzfalszabályzatán. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Azure Front Door Service-hez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Azure Front Door Service webalkalmazási tűzfalszabályzatainak aktív használatára kötelezi. | Naplózás, megtagadás, letiltva | 1.0.0 |
A szervezeti rendszerek jogosulatlan használatának azonosítása.
Azonosító: CMMC L3 SI.2.217 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tevékenységnaplót legalább egy évig meg kell őrizni | Ez a szabályzat naplózza a tevékenységnaplót, ha a megőrzés nincs beállítva 365 napra vagy örökre (a megőrzési napok értéke 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott felügyeleti műveletekhez | Ez a szabályzat naplózza az adott felügyeleti műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Monitor naplóprofiljának naplókat kell gyűjtenie az "írás", a "törlés" és a "művelet" kategóriákhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil gyűjtsön naplókat az "írás", a "törlés" és a "művelet" kategóriákhoz | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Monitornak minden régióból be kell gyűjtenie a tevékenységnaplókat | Ez a szabályzat naplózza az Azure Monitor naplóprofilt, amely nem exportál tevékenységeket az összes Azure-támogatás régióból, beleértve a globálist is. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.