A System and Organization Controls (SOC) 2 (Azure Government) szabályozási megfelelőség beépített kezdeményezésének részletei
Az alábbi cikk azt ismerteti, hogy az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója hogyan képezi le a megfelelőségi tartományokat és -vezérlőket a System and Organization Controls (SOC) 2 (Azure Government) rendszerben. Erről a megfelelőségi szabványról további információt a 2. soc. rendszer- és szervezetvezérlőkben talál. A tulajdonjog megértéséhez tekintse át a szabályzat típusát és a felhő megosztott felelősségét.
A következő leképezések a System and Organization Controls (SOC) 2 vezérlőkre vannak leképezve. Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki a SOC 2 Type 2 Szabályozási megfelelőség beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
További rendelkezésre állási feltételek
Kapacitáskezelés
Azonosító: SOC 2 Type 2 A1.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Kapacitástervezés végrehajtása | CMA_C1252 – Kapacitástervezés végrehajtása | Manuális, Letiltva | 1.1.0 |
Környezetvédelem, szoftverek, adat-biztonsági mentési folyamatok és helyreállítási infrastruktúra
Azonosító: SOC 2 Type 2 A1.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
Automatikus vészvilágítás alkalmazása | CMA_0209 – Automatikus vészvilágítás alkalmazása | Manuális, Letiltva | 1.1.0 |
Alternatív feldolgozási hely létrehozása | CMA_0262 – Alternatív feldolgozási hely létrehozása | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
Behatolástesztelési módszertan implementálása | CMA_0306 – Behatolástesztelési módszertan implementálása | Manuális, Letiltva | 1.1.0 |
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Riasztórendszer telepítése | CMA_0338 – Riasztórendszer telepítése | Manuális, Letiltva | 1.1.0 |
Erőforrások helyreállítása és helyreállítása a megszakítások után | CMA_C1295 – Erőforrások helyreállítása és helyreállítása a megszakítások után | Manuális, Letiltva | 1.1.1 |
Szimulációs támadások futtatása | CMA_0486 – Szimulációs támadások futtatása | Manuális, Letiltva | 1.1.0 |
A biztonsági mentési adatok külön tárolása | CMA_C1293 – A biztonsági mentési adatok külön tárolása | Manuális, Letiltva | 1.1.0 |
Biztonsági mentési adatok átvitele másik tárolóhelyre | CMA_C1294 – Biztonsági mentési adatok átvitele másik tárolóhelyre | Manuális, Letiltva | 1.1.0 |
Helyreállítási terv tesztelése
Azonosító: SOC 2 Type 2 A1.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
Vészhelyzeti terv korrekciós műveletek tesztelésének kezdeményezése | CMA_C1263 – Vészhelyzeti terv korrekciós műveletek tesztelésének kezdeményezése | Manuális, Letiltva | 1.1.0 |
A vészhelyzeti terv tesztelésének eredményeinek áttekintése | CMA_C1262 – A készenléti terv tesztelésének eredményeinek áttekintése | Manuális, Letiltva | 1.1.0 |
Az üzletmenet-folytonossági és vészhelyreállítási terv tesztelése | CMA_0509 – Az üzletmenet-folytonossági és vészhelyreállítási terv tesztelése | Manuális, Letiltva | 1.1.0 |
További bizalmassági feltételek
Bizalmas információk védelme
Azonosító: SOC 2 Type 2 C1.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
Bizalmas információk ártalmatlanítása
Azonosító: SOC 2 Type 2 C1.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
Vezérlőkörnyezet
COSO elv 1
Azonosító: SOC 2 Type 2 CC1.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Elfogadható használati szabályzatok és eljárások kidolgozása | CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
Szervezeti magatartási szabályzat fejlesztése | CMA_0159 – Szervezeti magatartási szabályzat kidolgozása | Manuális, Letiltva | 1.1.0 |
A személyzet adatvédelmi követelményeinek elfogadása | CMA_0193 – A személyzet adatvédelmi követelményeinek elfogadása | Manuális, Letiltva | 1.1.0 |
Viselkedési és hozzáférési szabályok kényszerítése | CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése | Manuális, Letiltva | 1.1.0 |
Tisztességtelen eljárások tiltása | CMA_0396 – Tisztességtelen eljárások tiltása | Manuális, Letiltva | 1.1.0 |
Módosított viselkedési szabályok áttekintése és aláírása | CMA_0465 – Felülvizsgált viselkedési szabályok áttekintése és aláírása | Manuális, Letiltva | 1.1.0 |
Viselkedési és hozzáférési szerződések szabályainak frissítése | CMA_0521 – Viselkedési és hozzáférési szerződések szabályainak frissítése | Manuális, Letiltva | 1.1.0 |
Viselkedési és hozzáférési szerződések szabályainak frissítése 3 évente | CMA_0522 – A viselkedési és hozzáférési szerződések szabályainak frissítése 3 évente | Manuális, Letiltva | 1.1.0 |
COSO elv 2
Azonosító: SOC 2 Type 2 CC1.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Vezető informatikai biztonsági tisztviselő kinevezése | CMA_C1733 – Vezető informatikai biztonsági tisztviselő kinevezése | Manuális, Letiltva | 1.1.0 |
Rendszerbiztonsági terv kidolgozása és létrehozása | CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása | Manuális, Letiltva | 1.1.0 |
Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | Manuális, Letiltva | 1.1.0 |
COSO elv 3
Azonosító: SOC 2 Type 2 CC1.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Vezető informatikai biztonsági tisztviselő kinevezése | CMA_C1733 – Vezető informatikai biztonsági tisztviselő kinevezése | Manuális, Letiltva | 1.1.0 |
Rendszerbiztonsági terv kidolgozása és létrehozása | CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása | Manuális, Letiltva | 1.1.0 |
Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | Manuális, Letiltva | 1.1.0 |
COSO-elv 4
Azonosító: SOC 2 Type 2 CC1.4 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Rendszeres szerepköralapú biztonsági képzés biztosítása | CMA_C1095 – Rendszeres szerepköralapú biztonsági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Rendszeres biztonsági tudatossági képzés biztosítása | CMA_C1091 – Rendszeres biztonsági tudatossági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Szerepköralapú gyakorlati gyakorlatok biztosítása | CMA_C1096 – Szerepköralapú gyakorlati gyakorlatok biztosítása | Manuális, Letiltva | 1.1.0 |
Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | CMA_0418 – Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | Manuális, Letiltva | 1.1.0 |
Biztonsági képzés biztosítása új felhasználók számára | CMA_0419 – Biztonsági képzés biztosítása új felhasználók számára | Manuális, Letiltva | 1.1.0 |
COSO-elv 5
Azonosító: SOC 2 Type 2 CC1.5 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Elfogadható használati szabályzatok és eljárások kidolgozása | CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
Viselkedési és hozzáférési szabályok kényszerítése | CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése | Manuális, Letiltva | 1.1.0 |
Formális szankciós folyamat implementálása | CMA_0317 – Formális szankciós folyamat végrehajtása | Manuális, Letiltva | 1.1.0 |
A személyzet értesítése a szankciókról | CMA_0380 – A személyzet értesítése a szankciókról | Manuális, Letiltva | 1.1.0 |
Kommunikáció és információ
COSO-elv 13
Azonosító: SOC 2 Type 2 CC2.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
COSO elv 14
Azonosító: SOC 2 Type 2 CC2.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Elfogadható használati szabályzatok és eljárások kidolgozása | CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.0.0 |
Viselkedési és hozzáférési szabályok kényszerítése | CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése | Manuális, Letiltva | 1.1.0 |
Rendszeres szerepköralapú biztonsági képzés biztosítása | CMA_C1095 – Rendszeres szerepköralapú biztonsági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Rendszeres biztonsági tudatossági képzés biztosítása | CMA_C1091 – Rendszeres biztonsági tudatossági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | CMA_0418 – Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | Manuális, Letiltva | 1.1.0 |
Biztonsági képzés biztosítása új felhasználók számára | CMA_0419 – Biztonsági képzés biztosítása új felhasználók számára | Manuális, Letiltva | 1.1.0 |
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
COSO-elv 15
Azonosító: SOC 2 Type 2 CC2.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A feldolgozók feladatainak meghatározása | CMA_0127 – A feldolgozók feladatainak meghatározása | Manuális, Letiltva | 1.1.0 |
Biztonsági értékelés eredményeinek átadása | CMA_C1147 – Biztonsági értékelés eredményeinek átadása | Manuális, Letiltva | 1.1.0 |
Rendszerbiztonsági terv kidolgozása és létrehozása | CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.0.0 |
A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Külső személyzet biztonsági követelményeinek megállapítása | CMA_C1529 – Külső személyzet biztonsági követelményeinek megállapítása | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | Manuális, Letiltva | 1.1.0 |
Biztonsági felmérési jelentés készítése | CMA_C1146 – Biztonsági felmérési jelentés készítése | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfeleléshez | CMA_C1530 – Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfelelésre | Manuális, Letiltva | 1.1.0 |
Kommunikáció korlátozása | CMA_0449 – Kommunikáció korlátozása | Manuális, Letiltva | 1.1.0 |
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Kockázatértékelés
COSO elv 6
Azonosító: SOC 2 Type 2 CC3.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Információk kategorizálása | CMA_0052 – Információk kategorizálása | Manuális, Letiltva | 1.1.0 |
Információvédelmi igények meghatározása | CMA_C1750 – Információvédelmi igények meghatározása | Manuális, Letiltva | 1.1.0 |
Üzleti besorolási rendszerek fejlesztése | CMA_0155 – Üzleti besorolási rendszerek fejlesztése | Manuális, Letiltva | 1.1.0 |
Feltételeknek megfelelő SSP fejlesztése | CMA_C1492 – Feltételeknek megfelelő SSP fejlesztése | Manuális, Letiltva | 1.1.0 |
Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
COSO elv 7
Azonosító: SOC 2 Type 2 CC3.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Információk kategorizálása | CMA_0052 – Információk kategorizálása | Manuális, Letiltva | 1.1.0 |
Információvédelmi igények meghatározása | CMA_C1750 – Információvédelmi igények meghatározása | Manuális, Letiltva | 1.1.0 |
Üzleti besorolási rendszerek fejlesztése | CMA_0155 – Üzleti besorolási rendszerek fejlesztése | Manuális, Letiltva | 1.1.0 |
Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
COSO elv 8
Azonosító: SOC 2 Type 2 CC3.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
COSO elv 9
Azonosító: SOC 2 Type 2 CC3.4 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Kockázat felmérése harmadik fél kapcsolataiban | CMA_0014 – Kockázat felmérése harmadik fél kapcsolataiban | Manuális, Letiltva | 1.1.0 |
Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | CMA_0126 – Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | CMA_0275 – Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | Manuális, Letiltva | 1.1.0 |
Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Monitorozási tevékenységek
COSO-elv 16
Azonosító: SOC 2 Type 2 CC4.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Biztonsági vezérlők értékelése | CMA_C1145 – Biztonsági vezérlők értékelése | Manuális, Letiltva | 1.1.0 |
Biztonsági felmérési terv kidolgozása | CMA_C1144 – Biztonsági értékelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
További tesztelés kiválasztása a biztonsági ellenőrzési értékelésekhez | CMA_C1149 – További tesztelés kiválasztása a biztonsági ellenőrzés értékeléséhez | Manuális, Letiltva | 1.1.0 |
COSO elv 17
Azonosító: SOC 2 Type 2 CC4.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Biztonsági értékelés eredményeinek átadása | CMA_C1147 – Biztonsági értékelés eredményeinek átadása | Manuális, Letiltva | 1.1.0 |
Biztonsági felmérési jelentés készítése | CMA_C1146 – Biztonsági felmérési jelentés készítése | Manuális, Letiltva | 1.1.0 |
Tevékenységek vezérlése
COSO elv 10
Azonosító: SOC 2 Type 2 CC5.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
COSO elv 11
Azonosító: SOC 2 Type 2 CC5.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
Dokumentumbeszerzési szerződés elfogadásának feltételei | CMA_0187 – A beszerzési szerződés elfogadásának feltételei | Manuális, Letiltva | 1.1.0 |
A személyes adatok védelme a beszerzési szerződésekben | CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági információinak dokumentumvédelme | CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme | Manuális, Letiltva | 1.1.0 |
A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei | CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása | CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | Manuális, Letiltva | 1.1.0 |
Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
COSO elv 12
Azonosító: SOC 2 Type 2 CC5.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Észlelési engedélyezési lista konfigurálása | CMA_0068 – Észlelési engedélyezési lista konfigurálása | Manuális, Letiltva | 1.1.0 |
Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | Manuális, Letiltva | 1.1.0 |
Független biztonsági felülvizsgálaton megy keresztül | CMA_0515 – Független biztonsági felülvizsgálaton megy keresztül | Manuális, Letiltva | 1.1.0 |
Logikai és fizikai hozzáférés-vezérlők
Logikai hozzáférési biztonsági szoftverek, infrastruktúra és architektúrák
Azonosító: SOC 2 Type 2 CC6.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 2.4.0 |
Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
Távelérés engedélyezése | CMA_0024 – Távelérés engedélyezése | Manuális, Letiltva | 1.1.0 |
Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
Az Azure AI Services-erőforrásoknak inaktív állapotban kell titkosítaniuk az adatokat egy ügyfél által felügyelt kulccsal (CMK) | Az ügyfél által felügyelt kulcsok használata az inaktív adatok titkosításához nagyobb ellenőrzést biztosít a kulcs életciklusa felett, beleértve a rotációt és a felügyeletet is. Ez különösen fontos a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetek számára. Ez alapértelmezés szerint nem értékelhető, és csak akkor alkalmazható, ha a megfelelőségi vagy korlátozó szabályzati követelmények megkövetelik. Ha nincs engedélyezve, az adatok platform által felügyelt kulcsokkal lesznek titkosítva. Ennek implementálásához frissítse az "Effektus" paramétert a biztonsági szabályzatban az alkalmazandó hatókörhöz. | Naplózás, megtagadás, letiltva | 2.2.0 |
Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine Learning-munkaterület többi adatának titkosítása ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Naplózás, megtagadás, letiltva | 1.1.0 |
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Adatleltár létrehozása | CMA_0096 – Adatleltár létrehozása | Manuális, Letiltva | 1.1.0 |
Fizikai kulcskezelési folyamat definiálása | CMA_0115 – Fizikai kulcskezelési folyamat definiálása | Manuális, Letiltva | 1.1.0 |
Titkosítási használat definiálása | CMA_0120 – Titkosítási használat meghatározása | Manuális, Letiltva | 1.1.0 |
A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | CMA_0123 – A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
A helyességi követelmények meghatározása | CMA_0136 – A helyességi követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Dokumentum-mobilitási képzés | CMA_0191 – Dokumentum-mobilitási képzés | Manuális, Letiltva | 1.1.0 |
Dokumentum távelérési irányelvei | CMA_0196 – Dokumentum távelérési irányelvei | Manuális, Letiltva | 1.1.0 |
A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
Logikai hozzáférés kényszerítése | CMA_0245 – Logikai hozzáférés kényszerítése | Manuális, Letiltva | 1.1.0 |
Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
Tűzfal- és útválasztókonfigurációs szabványok létrehozása | CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása | Manuális, Letiltva | 1.1.0 |
Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | Manuális, Letiltva | 1.1.0 |
A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
Alsóbb rétegbeli információcsere azonosítása és kezelése | CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése | Manuális, Letiltva | 1.1.0 |
Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | Manuális, Letiltva | 1.1.0 |
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Nyilvános kulcsú tanúsítványok kiállítása | CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása | Manuális, Letiltva | 1.1.0 |
A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 3.0.0 |
A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
A személyes adatok feldolgozásának nyilvántartása | CMA_0353 – A személyes adatok feldolgozásának nyilvántartása | Manuális, Letiltva | 1.1.0 |
Szimmetrikus titkosítási kulcsok kezelése | CMA_0367 – Szimmetrikus titkosítási kulcsok kezelése | Manuális, Letiltva | 1.1.0 |
Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Felhasználók értesítése a rendszerbe való bejelentkezésről vagy hozzáférésről | CMA_0382 – A felhasználók értesítése a rendszerbe való bejelentkezésről vagy a hozzáférésről | Manuális, Letiltva | 1.1.0 |
Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
Adatvédelmi képzés biztosítása | CMA_0415 – Adatvédelmi képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
A titkos kulcsokhoz való hozzáférés korlátozása | CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
A tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiókot BYOK-tal kell titkosítani | Ez a szabályzat naplózza, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó Storage-fiók titkosítva van-e a BYOK-tal. A szabályzat csak akkor működik, ha a tárfiók ugyanazon az előfizetésen található, mint a tevékenységnaplók. További információt az Azure Storage inaktív titkosításáról itt https://aka.ms/azurestoragebyoktalál. | AuditIfNotExists, Disabled | 1.0.0 |
A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 3.0.1 |
Hozzáférés kiépítése és eltávolítása
Azonosító: SOC 2 Type 2 CC6.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Fiókkezelők hozzárendelése | CMA_0015 – Fiókkezelők hozzárendelése | Manuális, Letiltva | 1.1.0 |
Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
Dokumentum-hozzáférési jogosultságok | CMA_0186 – Dokumentum-hozzáférési jogosultságok | Manuális, Letiltva | 1.1.0 |
A szerepkör-tagság feltételeinek megállapítása | CMA_0269 – A szerepkör-tagság feltételeinek megállapítása | Manuális, Letiltva | 1.1.0 |
El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása | CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
Fiókkiépítési naplók áttekintése | CMA_0460 – Fiókkiépítési naplók áttekintése | Manuális, Letiltva | 1.1.0 |
Felhasználói fiókok áttekintése | CMA_0480 – Felhasználói fiókok áttekintése | Manuális, Letiltva | 1.1.0 |
Rol-alapú hozzáférés és minimális jogosultság
Azonosító: SOC 2 Type 2 CC6.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
Kiemelt szerepkör-hozzárendelés figyelése | CMA_0378 – Kiemelt szerepkör-hozzárendelés figyelése | Manuális, Letiltva | 1.1.0 |
Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása | CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
Fiókkiépítési naplók áttekintése | CMA_0460 – Fiókkiépítési naplók áttekintése | Manuális, Letiltva | 1.1.0 |
Felhasználói fiókok áttekintése | CMA_0480 – Felhasználói fiókok áttekintése | Manuális, Letiltva | 1.1.0 |
Felhasználói jogosultságok áttekintése | CMA_C1039 – Felhasználói jogosultságok áttekintése | Manuális, Letiltva | 1.1.0 |
A kiemelt szerepkörök visszavonása a megfelelő módon | CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása | Manuális, Letiltva | 1.1.0 |
Szerepköralapú hozzáférés-vezérlést (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.4 |
Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
Emelt szintű identitáskezelés használata | CMA_0533 – Emelt szintű identitáskezelés használata | Manuális, Letiltva | 1.1.0 |
Korlátozott fizikai hozzáférés
Azonosító: SOC 2 Type 2 CC6.4 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Logikai és fizikai védelem fizikai eszközök felett
Azonosító: SOC 2 Type 2 CC6.5 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Biztonsági intézkedések a rendszer határain kívüli fenyegetések ellen
Azonosító: SOC 2 Type 2 CC6.6 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 2.4.0 |
Távelérés engedélyezése | CMA_0024 – Távelérés engedélyezése | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
Dokumentum-mobilitási képzés | CMA_0191 – Dokumentum-mobilitási képzés | Manuális, Letiltva | 1.1.0 |
Dokumentum távelérési irányelvei | CMA_0196 – Dokumentum távelérési irányelvei | Manuális, Letiltva | 1.1.0 |
A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Tűzfal- és útválasztókonfigurációs szabványok létrehozása | CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása | Manuális, Letiltva | 1.1.0 |
Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | Manuális, Letiltva | 1.1.0 |
A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
Hálózati eszközök azonosítása és hitelesítése | CMA_0296 – Hálózati eszközök azonosítása és hitelesítése | Manuális, Letiltva | 1.1.0 |
Alsóbb rétegbeli információcsere azonosítása és kezelése | CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése | Manuális, Letiltva | 1.1.0 |
Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | Manuális, Letiltva | 1.1.0 |
Rendszerhatárvédelem implementálása | CMA_0328 – Rendszerhatárvédelem megvalósítása | Manuális, Letiltva | 1.1.0 |
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Felhasználók értesítése a rendszerbe való bejelentkezésről vagy hozzáférésről | CMA_0382 – A felhasználók értesítése a rendszerbe való bejelentkezésről vagy a hozzáférésről | Manuális, Letiltva | 1.1.0 |
Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Adatvédelmi képzés biztosítása | CMA_0415 – Adatvédelmi képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 3.0.1 |
Az információk engedélyezett felhasználókra való áthelyezésének korlátozása
Azonosító: SOC 2 Type 2 CC6.7 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
Mobileszköz-követelmények meghatározása | CMA_0122 – Mobileszköz-követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Tűzfal- és útválasztókonfigurációs szabványok létrehozása | CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása | Manuális, Letiltva | 1.1.0 |
Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | Manuális, Letiltva | 1.1.0 |
A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.1.0 |
Alsóbb rétegbeli információcsere azonosítása és kezelése | CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése | Manuális, Letiltva | 1.1.0 |
Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
Eszközök szállításának kezelése | CMA_0370 – Eszközök szállításának kezelése | Manuális, Letiltva | 1.1.0 |
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 3.0.1 |
Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése
Azonosító: SOC 2 Type 2 CC6.8 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
[Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
Felügyelt lemezeket nem használó virtuális gépek naplózása | Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplózza | naplózás | 1.0.0 |
A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. | Naplózás, letiltva | 1.0.2 |
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 10.2.0 |
A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 10.2.0 |
A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 10.1.0 |
A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | Tiltsa le az API hitelesítő adatainak automatikus leválasztását, hogy egy potenciálisan sérült poderőforrás api-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 1.5.0 |
Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
Csak jóváhagyott virtuálisgép-bővítményeket kell telepíteni | Ez a szabályzat a nem jóváhagyott virtuálisgép-bővítményeket szabályozza. | Naplózás, megtagadás, letiltva | 1.0.0 |
Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
Kártevőészlelési jelentés heti áttekintése | CMA_0475 – Kártevőészlelési jelentések heti áttekintése | Manuális, Letiltva | 1.1.0 |
Veszélyforrások elleni védelem állapotának heti áttekintése | CMA_0479 – A veszélyforrások elleni védelem állapotának heti áttekintése | Manuális, Letiltva | 1.1.0 |
A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
Víruskereső-definíciók frissítése | CMA_0517 – Víruskereső-definíciók frissítése | Manuális, Letiltva | 1.1.0 |
Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése | CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése | Manuális, Letiltva | 1.1.0 |
Rendszerdiagnosztikai adatok megtekintése és konfigurálása | CMA_0544 – Rendszerdiagnosztikai adatok megtekintése és konfigurálása | Manuális, Letiltva | 1.1.0 |
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 1.0.0 |
Rendszerműveletek
Új biztonsági rések észlelése és monitorozása
Azonosító: SOC 2 Type 2 CC7.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Nem megfelelő eszközök műveleteinek konfigurálása | CMA_0062 – Műveletek konfigurálása nem megfelelő eszközökhöz | Manuális, Letiltva | 1.1.0 |
Alapkonfigurációk fejlesztése és karbantartása | CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása | Manuális, Letiltva | 1.1.0 |
Hálózati eszközök észlelésének engedélyezése | CMA_0220 – Hálózati eszközök észlelésének engedélyezése | Manuális, Letiltva | 1.1.0 |
Biztonsági konfigurációs beállítások kényszerítése | CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése | Manuális, Letiltva | 1.1.0 |
Konfigurációs vezérlőtábla létrehozása | CMA_0254 – Konfigurációs vezérlőtábla létrehozása | Manuális, Letiltva | 1.1.0 |
Konfigurációkezelési terv létrehozása és dokumentálása | CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Automatizált konfigurációkezelő eszköz implementálása | CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása | Manuális, Letiltva | 1.1.0 |
Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése | CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése | Manuális, Letiltva | 1.1.0 |
Rendszerdiagnosztikai adatok megtekintése és konfigurálása | CMA_0544 – Rendszerdiagnosztikai adatok megtekintése és konfigurálása | Manuális, Letiltva | 1.1.0 |
A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
Rendszerösszetevők figyelése rendellenes viselkedés esetén
Azonosító: SOC 2 Type 2 CC7.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-előzetes verzió |
Tevékenységnapló-riasztásnak kell léteznie adott felügyeleti műveletekhez | Ez a szabályzat naplózza az adott felügyeleti műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | CMA_C1700 – Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | Manuális, Letiltva | 1.1.0 |
Naplózási feldolgozási tevékenységek szabályozása és monitorozása | CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 1.1.1 |
Biztonsági incidensek észlelése
Azonosító: SOC 2 Type 2 CC7.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Incidenskezelési szabályzatok és eljárások áttekintése és frissítése | CMA_C1352 – Incidenskezelési szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Biztonsági incidensek válasza
Azonosító: SOC 2 Type 2 CC7.4 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Információbiztonsági események felmérése | CMA_0013 – Információbiztonsági események felmérése | Manuális, Letiltva | 1.1.0 |
Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
Biztonsági garanciák fejlesztése | CMA_0161 – Biztonsági garanciák fejlesztése | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.0.0 |
Hálózatvédelem engedélyezése | CMA_0238 – Hálózatvédelem engedélyezése | Manuális, Letiltva | 1.1.0 |
Szennyezett adatok felszámolása | CMA_0253 – Szennyezett adatok felszámolása | Manuális, Letiltva | 1.1.0 |
Műveletek végrehajtása az információk kiömlésére válaszul | CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul | Manuális, Letiltva | 1.1.0 |
Incidensek és végrehajtott műveletek osztályainak azonosítása | CMA_C1365 – Incidensek és végrehajtott műveletek osztályainak azonosítása | Manuális, Letiltva | 1.1.0 |
Incidenskezelés implementálása | CMA_0318 – Incidenskezelés megvalósítása | Manuális, Letiltva | 1.1.0 |
Az ügyfél által üzembe helyezett erőforrások dinamikus újrakonfigurálásának belefoglalása | CMA_C1364 – Az ügyfél által üzembe helyezett erőforrások dinamikus újrakonfigurálásának belefoglalása | Manuális, Letiltva | 1.1.0 |
Incidenskezelési terv karbantartása | CMA_0352 – Incidenskezelési terv karbantartása | Manuális, Letiltva | 1.1.0 |
Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Korlátozott felhasználók megtekintése és vizsgálata | CMA_0545 – Korlátozott felhasználók megtekintése és vizsgálata | Manuális, Letiltva | 1.1.0 |
Helyreállítás azonosított biztonsági incidensekből
Azonosító: SOC 2 Type 2 CC7.5 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Információbiztonsági események felmérése | CMA_0013 – Információbiztonsági események felmérése | Manuális, Letiltva | 1.1.0 |
Incidenskezelés tesztelése | CMA_0060 – Incidenskezelés tesztelése | Manuális, Letiltva | 1.1.0 |
Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
Együttműködés a külső szervezetekkel a szervezetközi perspektívák elérése érdekében | CMA_C1368 – Együttműködés külső szervezetekkel a szervezetközi perspektívák elérése érdekében | Manuális, Letiltva | 1.1.0 |
Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
Biztonsági garanciák fejlesztése | CMA_0161 – Biztonsági garanciák fejlesztése | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.0.0 |
Hálózatvédelem engedélyezése | CMA_0238 – Hálózatvédelem engedélyezése | Manuális, Letiltva | 1.1.0 |
Szennyezett adatok felszámolása | CMA_0253 – Szennyezett adatok felszámolása | Manuális, Letiltva | 1.1.0 |
Információbiztonsági program létrehozása | CMA_0263 – Információbiztonsági program létrehozása | Manuális, Letiltva | 1.1.0 |
Műveletek végrehajtása az információk kiömlésére válaszul | CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul | Manuális, Letiltva | 1.1.0 |
Incidenskezelés implementálása | CMA_0318 – Incidenskezelés megvalósítása | Manuális, Letiltva | 1.1.0 |
Incidenskezelési terv karbantartása | CMA_0352 – Incidenskezelési terv karbantartása | Manuális, Letiltva | 1.1.0 |
Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
Szimulációs támadások futtatása | CMA_0486 – Szimulációs támadások futtatása | Manuális, Letiltva | 1.1.0 |
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Korlátozott felhasználók megtekintése és vizsgálata | CMA_0545 – Korlátozott felhasználók megtekintése és vizsgálata | Manuális, Letiltva | 1.1.0 |
Változáskezelés
Az infrastruktúra, az adatok és a szoftverek változásai
Azonosító: SOC 2 Type 2 CC8.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
[Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
Felügyelt lemezeket nem használó virtuális gépek naplózása | Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplózza | naplózás | 1.0.0 |
A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. | Naplózás, letiltva | 1.0.2 |
Biztonsági hatáselemzés végrehajtása | CMA_0057 – Biztonsági hatáselemzés végrehajtása | Manuális, Letiltva | 1.1.0 |
Nem megfelelő eszközök műveleteinek konfigurálása | CMA_0062 – Műveletek konfigurálása nem megfelelő eszközökhöz | Manuális, Letiltva | 1.1.0 |
Biztonságirés-kezelés szabvány fejlesztése és karbantartása | CMA_0152 – Biztonságirés-kezelés szabvány fejlesztése és fenntartása | Manuális, Letiltva | 1.1.0 |
Alapkonfigurációk fejlesztése és karbantartása | CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása | Manuális, Letiltva | 1.1.0 |
Biztonsági konfigurációs beállítások kényszerítése | CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése | Manuális, Letiltva | 1.1.0 |
Konfigurációs vezérlőtábla létrehozása | CMA_0254 – Konfigurációs vezérlőtábla létrehozása | Manuális, Letiltva | 1.1.0 |
Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
Konfigurációkezelési terv létrehozása és dokumentálása | CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Konfigurációkezelési követelmények létrehozása fejlesztők számára | CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára | Manuális, Letiltva | 1.1.0 |
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
Automatizált konfigurációkezelő eszköz implementálása | CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása | Manuális, Letiltva | 1.1.0 |
A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 10.2.0 |
A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 10.2.0 |
A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 10.1.0 |
A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | Tiltsa le az API hitelesítő adatainak automatikus leválasztását, hogy egy potenciálisan sérült poderőforrás api-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 1.5.0 |
Csak jóváhagyott virtuálisgép-bővítményeket kell telepíteni | Ez a szabályzat a nem jóváhagyott virtuálisgép-bővítményeket szabályozza. | Naplózás, megtagadás, letiltva | 1.0.0 |
Adatvédelmi hatásvizsgálat elvégzése | CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése | Manuális, Letiltva | 1.1.0 |
Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Naplózás végrehajtása a konfigurációmódosítás-vezérléshez | CMA_0390 – A konfigurációmódosítás-vezérlés naplózása | Manuális, Letiltva | 1.1.0 |
A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 1.0.0 |
Kockázatcsökkentés
Kockázatcsökkentési tevékenységek
Azonosító: SOC 2 Type 2 CC9.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Információvédelmi igények meghatározása | CMA_C1750 – Információvédelmi igények meghatározása | Manuális, Letiltva | 1.1.0 |
Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Szállítók és üzleti partnerek kockázatkezelése
Azonosító: SOC 2 Type 2 CC9.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Kockázat felmérése harmadik fél kapcsolataiban | CMA_0014 – Kockázat felmérése harmadik fél kapcsolataiban | Manuális, Letiltva | 1.1.0 |
Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | CMA_0126 – Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
A feldolgozók feladatainak meghatározása | CMA_0127 – A feldolgozók feladatainak meghatározása | Manuális, Letiltva | 1.1.0 |
Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
Dokumentumbeszerzési szerződés elfogadásának feltételei | CMA_0187 – A beszerzési szerződés elfogadásának feltételei | Manuális, Letiltva | 1.1.0 |
A személyes adatok védelme a beszerzési szerződésekben | CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági információinak dokumentumvédelme | CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme | Manuális, Letiltva | 1.1.0 |
A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei | CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása | CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | Manuális, Letiltva | 1.1.0 |
Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | CMA_0275 – Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | Manuális, Letiltva | 1.1.0 |
Külső személyzet biztonsági követelményeinek megállapítása | CMA_C1529 – Külső személyzet biztonsági követelményeinek megállapítása | Manuális, Letiltva | 1.1.0 |
Külső szolgáltató megfelelőségének monitorozása | CMA_C1533 – Külső szolgáltatók megfelelőségének monitorozása | Manuális, Letiltva | 1.1.0 |
A PII harmadik felek számára történő közzétételének rögzítése | CMA_0422 – A PII harmadik felek számára történő közzétételének rögzítése | Manuális, Letiltva | 1.1.0 |
Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfeleléshez | CMA_C1530 – Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfelelésre | Manuális, Letiltva | 1.1.0 |
A PII megosztására és következményeire vonatkozó személyzet betanítása | CMA_C1871 – A PII megosztásának és következményeinek betanítása | Manuális, Letiltva | 1.1.0 |
További adatvédelmi feltételek
Adatvédelmi nyilatkozat
Azonosító: SOC 2 Type 2 P1.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Adatvédelmi szabályzat dokumentálása és terjesztése | CMA_0188 – Adatvédelmi szabályzat dokumentálása és terjesztése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az adatvédelmi program adatai nyilvánosan elérhetők | CMA_C1867 – Győződjön meg arról, hogy az adatvédelmi programok adatai nyilvánosan elérhetők | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat küldése a nyilvánosságnak és az egyéneknek | CMA_C1861 – Adatvédelmi nyilatkozat küldése a nyilvánosságnak és az egyéneknek | Manuális, Letiltva | 1.1.0 |
Adatvédelmi hozzájárulás
Azonosító: SOC 2 Type 2 P2.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A személyzet adatvédelmi követelményeinek elfogadása | CMA_0193 – A személyzet adatvédelmi követelményeinek elfogadása | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | CMA_0385 – Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
Konzisztens személyes információgyűjtés
Azonosító: SOC 2 Type 2 P3.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A PII gyűjtésére vonatkozó jogi hatóság meghatározása | CMA_C1800 – A PII gyűjtésére vonatkozó jogi hatóság meghatározása | Manuális, Letiltva | 1.1.0 |
Dokumentumfolyamat a PII integritásának biztosításához | CMA_C1827 – Dokumentumfolyamat a PII integritásának biztosításához | Manuális, Letiltva | 1.1.0 |
A PII-gazdaságok rendszeres kiértékelése és áttekintése | CMA_C1832 – A PII-gazdaságok rendszeres értékelése és áttekintése | Manuális, Letiltva | 1.1.0 |
Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | CMA_0385 – Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | Manuális, Letiltva | 1.1.0 |
Személyes adatok kifejezett hozzájárulása
Azonosító: SOC 2 Type 2 P3.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A PII gyűjtése közvetlenül az egyéntől | CMA_C1822 – A PII gyűjtése közvetlenül az egyéntől | Manuális, Letiltva | 1.1.0 |
Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | CMA_0385 – Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | Manuális, Letiltva | 1.1.0 |
Személyes adatok felhasználása
Azonosító: SOC 2 Type 2 P4.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A személyes adatok feldolgozásának jogalapjának dokumentálása | CMA_0206 – A személyes adatok feldolgozásának jogalapjának dokumentálása | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | CMA_0385 – Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
Kommunikáció korlátozása | CMA_0449 – Kommunikáció korlátozása | Manuális, Letiltva | 1.1.0 |
Személyes adatok megőrzése
Azonosító: SOC 2 Type 2 P4.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
Dokumentumfolyamat a PII integritásának biztosításához | CMA_C1827 – Dokumentumfolyamat a PII integritásának biztosításához | Manuális, Letiltva | 1.1.0 |
Személyes adatok megsemmisítése
Azonosító: SOC 2 Type 2 P4.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Áthelyezési felülvizsgálat végrehajtása | CMA_0391 – Áthelyezési felülvizsgálat végrehajtása | Manuális, Letiltva | 1.1.0 |
Ellenőrizze, hogy a személyes adatok törlésre kerülnek-e a feldolgozás végén | CMA_0540 – Annak ellenőrzése, hogy a személyes adatok törlésre kerülnek-e a feldolgozás végén | Manuális, Letiltva | 1.1.0 |
Személyes adatokhoz való hozzáférés
Azonosító: SOC 2 Type 2 P5.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A fogyasztói kérelmek módszereinek implementálása | CMA_0319 – A fogyasztói kérelmek módszereinek implementálása | Manuális, Letiltva | 1.1.0 |
Az adatvédelmi törvény rekordjaihoz hozzáférő szabályok és szabályozások közzététele | CMA_C1847 – Az adatvédelmi törvény rekordjaihoz hozzáférő szabályok és szabályozások közzététele | Manuális, Letiltva | 1.1.0 |
Személyes adatok javítása
Azonosító: SOC 2 Type 2 P5.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Válasz a helyesbítési kérelmekre | CMA_0442 – Válasz a helyesbítési kérelmekre | Manuális, Letiltva | 1.1.0 |
Személyes adatok harmadik féltől származó nyilvánosságra hozatala
Azonosító: SOC 2 Type 2 P6.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A feldolgozók feladatainak meghatározása | CMA_0127 – A feldolgozók feladatainak meghatározása | Manuális, Letiltva | 1.1.0 |
Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
Dokumentumbeszerzési szerződés elfogadásának feltételei | CMA_0187 – A beszerzési szerződés elfogadásának feltételei | Manuális, Letiltva | 1.1.0 |
A személyes adatok védelme a beszerzési szerződésekben | CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági információinak dokumentumvédelme | CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme | Manuális, Letiltva | 1.1.0 |
A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei | CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása | CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | Manuális, Letiltva | 1.1.0 |
Alvállalkozók és szolgáltatók adatvédelmi követelményeinek megállapítása | CMA_C1810 – Alvállalkozók és szolgáltatók adatvédelmi követelményeinek megállapítása | Manuális, Letiltva | 1.1.0 |
A PII harmadik felek számára történő közzétételének rögzítése | CMA_0422 – A PII harmadik felek számára történő közzétételének rögzítése | Manuális, Letiltva | 1.1.0 |
A PII megosztására és következményeire vonatkozó személyzet betanítása | CMA_C1871 – A PII megosztásának és következményeinek betanítása | Manuális, Letiltva | 1.1.0 |
A személyes adatok nyilvántartásának engedélyezett közzététele
Azonosító: SOC 2 Type 2 P6.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az információk közzétételének pontos nyilvántartása | CMA_C1818 – Az információk közzétételének pontos nyilvántartása | Manuális, Letiltva | 1.1.0 |
Személyes adatrekord jogosulatlan közzététele
Azonosító: SOC 2 Type 2 P6.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az információk közzétételének pontos nyilvántartása | CMA_C1818 – Az információk közzétételének pontos nyilvántartása | Manuális, Letiltva | 1.1.0 |
Harmadik felek megállapodásai
Azonosító: SOC 2 Type 2 P6.4 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A feldolgozók feladatainak meghatározása | CMA_0127 – A feldolgozók feladatainak meghatározása | Manuális, Letiltva | 1.1.0 |
Harmadik fél jogosulatlan közzétételi értesítése
Azonosító: SOC 2 Type 2 P6.5 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
Dokumentumbeszerzési szerződés elfogadásának feltételei | CMA_0187 – A beszerzési szerződés elfogadásának feltételei | Manuális, Letiltva | 1.1.0 |
A személyes adatok védelme a beszerzési szerződésekben | CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági információinak dokumentumvédelme | CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme | Manuális, Letiltva | 1.1.0 |
A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei | CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása | CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | Manuális, Letiltva | 1.1.0 |
Információbiztonság és személyes adatok védelme | CMA_0332 – Információbiztonság és személyes adatok védelme | Manuális, Letiltva | 1.1.0 |
Adatvédelmi incidensről szóló értesítés
Azonosító: SOC 2 Type 2 P6.6 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
Információbiztonság és személyes adatok védelme | CMA_0332 – Információbiztonság és személyes adatok védelme | Manuális, Letiltva | 1.1.0 |
Személyes adatok nyilvánosságra hozatalának könyvelése
Azonosító: SOC 2 Type 2 P6.7 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
Az információk közzétételének pontos nyilvántartása | CMA_C1818 – Az információk közzétételének pontos nyilvántartása | Manuális, Letiltva | 1.1.0 |
A közzétételek nyilvántartásának elérhetővé tétele kérésre | CMA_C1820 – A közzétételek számbavétele kérésre elérhetővé tétele | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
Kommunikáció korlátozása | CMA_0449 – Kommunikáció korlátozása | Manuális, Letiltva | 1.1.0 |
Személyes adatok minősége
Azonosító: SOC 2 Type 2 P7.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A PII minőségének és integritásának megerősítése | CMA_C1821 – A PII minőségének és integritásának megerősítése | Manuális, Letiltva | 1.1.0 |
Az adatminőség és az integritás biztosításának irányelvei | CMA_C1824 – Az adatminőség és az integritás biztosításának irányelvei | Manuális, Letiltva | 1.1.0 |
Pontatlan vagy elavult PII ellenőrzése | CMA_C1823 – Pontatlan vagy elavult PII ellenőrzése | Manuális, Letiltva | 1.1.0 |
Adatvédelmi panaszkezelés és megfelelőségkezelés
Azonosító: SOC 2 Type 2 P8.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Adatvédelmi panaszkezelési eljárások dokumentálása és megvalósítása | CMA_0189 – Adatvédelmi panaszkezelési eljárások dokumentálása és végrehajtása | Manuális, Letiltva | 1.1.0 |
A PII-gazdaságok rendszeres kiértékelése és áttekintése | CMA_C1832 – A PII-gazdaságok rendszeres értékelése és áttekintése | Manuális, Letiltva | 1.1.0 |
Információbiztonság és személyes adatok védelme | CMA_0332 – Információbiztonság és személyes adatok védelme | Manuális, Letiltva | 1.1.0 |
Panaszokra, aggodalmakra vagy kérdésekre való időben válaszol | CMA_C1853 – Panaszokra, aggodalmakra vagy kérdésekre való időben válaszol | Manuális, Letiltva | 1.1.0 |
A PII megosztására és következményeire vonatkozó személyzet betanítása | CMA_C1871 – A PII megosztásának és következményeinek betanítása | Manuális, Letiltva | 1.1.0 |
A feldolgozási integritás további feltételei
Adatfeldolgozási definíciók
Azonosító: SOC 2 Type 2 PI1.1 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
Kommunikáció korlátozása | CMA_0449 – Kommunikáció korlátozása | Manuális, Letiltva | 1.1.0 |
Rendszerbemenetek teljesség és pontosság felett
Azonosító: SOC 2 Type 2 PI1.2 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Adatbeviteli ellenőrzés végrehajtása | CMA_C1723 – Adatbeviteli ellenőrzés végrehajtása | Manuális, Letiltva | 1.1.0 |
Rendszerfeldolgozás
Azonosító: SOC 2 Type 2 PI1.3 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Hibaüzenetek létrehozása | CMA_C1724 – Hibaüzenetek létrehozása | Manuális, Letiltva | 1.1.0 |
Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
Adatbeviteli ellenőrzés végrehajtása | CMA_C1723 – Adatbeviteli ellenőrzés végrehajtása | Manuális, Letiltva | 1.1.0 |
Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
A rendszer kimenete teljes, pontos és időz
Azonosító: SOC 2 Type 2 PI1.4 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
A bemenetek és kimenetek tárolása teljesen, pontosan és időben
Azonosító: SOC 2 Type 2 PI1.5 Tulajdonos: Megosztott
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Biztonsági mentési szabályzatok és eljárások létrehozása | CMA_0268 – Biztonsági mentési szabályzatok és eljárások létrehozása | Manuális, Letiltva | 1.1.0 |
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
A biztonsági mentési adatok külön tárolása | CMA_C1293 – A biztonsági mentési adatok külön tárolása | Manuális, Letiltva | 1.1.0 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.