Information om det inbyggda initiativet CMMC Level 3 Regulatory Compliance
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller på CMMC-nivå 3. Mer information om den här efterlevnadsstandarden finns i CMMC-nivå 3. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.
Följande mappningar är till CMMC Level 3-kontrollerna . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen CMMC Level 3 Regulatory Compliance.
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
Åtkomstkontroll
Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem).
ID: CMMC L3 AC.1.001 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| CORS bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR. Om du vill skydda ditt API för FHIR tar du bort åtkomsten för alla domäner och definierar uttryckligen de domäner som tillåts att ansluta. | audit, Audit, disabled, Disabled | 1.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for MySQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP-baserade brandväggsregler. | Granska, neka, inaktiverad | 3.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.4 |
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | Windows-datorer ska ha de angivna grupprincip inställningarna i kategorin Säkerhetsalternativ – Nätverksåtkomst för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra.
ID: CMMC L3 AC.1.002 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| CORS bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR. Om du vill skydda ditt API för FHIR tar du bort åtkomsten för alla domäner och definierar uttryckligen de domäner som tillåts att ansluta. | audit, Audit, disabled, Disabled | 1.1.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for MySQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP-baserade brandväggsregler. | Granska, neka, inaktiverad | 3.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.4 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | Windows-datorer ska ha de angivna grupprincip inställningarna i kategorin Säkerhetsalternativ – Nätverksåtkomst för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Verifiera och kontrollera/begränsa anslutningar till och användning av externa informationssystem.
ID: CMMC L3 AC.1.003 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
Använd principen om lägsta behörighet, inklusive för specifika säkerhetsfunktioner och privilegierade konton.
ID: CMMC L3 AC.2.007 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.4 |
Använd icke-privilegierade konton eller roller vid åtkomst till icke-säkerhetsfunktioner.
ID: CMMC L3 AC.2.008 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin Säkerhetsalternativ – Användarkontokontroll för läge för administratörer, beteende för utökade frågor och virtualisering av fil- och registerskrivningsfel. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Tilldelning av användarrättigheter" | Windows-datorer bör ha angivna grupprincip inställningar i kategorin "Tilldelning av användarrättigheter" för att tillåta inloggning lokalt, RDP, åtkomst från nätverket och många andra användaraktiviteter. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Övervaka och kontrollera fjärråtkomstsessioner.
ID: CMMC L3 AC.2.013 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kontrollera flödet av CUI i enlighet med godkända auktoriseringar.
ID: CMMC L3 AC.2.016 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| CORS bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR. Om du vill skydda ditt API för FHIR tar du bort åtkomsten för alla domäner och definierar uttryckligen de domäner som tillåts att ansluta. | audit, Audit, disabled, Disabled | 1.1.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for MySQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP-baserade brandväggsregler. | Granska, neka, inaktiverad | 3.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.4 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | Windows-datorer ska ha de angivna grupprincip inställningarna i kategorin Säkerhetsalternativ – Nätverksåtkomst för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Separera enskilda personers uppgifter för att minska risken för illvillig verksamhet utan maskopi.
ID: CMMC L3 AC.3.017 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Förhindra att icke-privilegierade användare kör privilegierade funktioner och avbildar körningen av sådana funktioner i granskningsloggar.
ID: CMMC L3 AC.3.018 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – Privilegierad användning" | Windows-datorer ska ha de angivna grupprincip inställningarna i kategorin "Systemgranskningsprinciper – Privilegierad användning" för granskning av meningslös och annan behörighetsanvändning. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information.
ID: CMMC L3 AC.3.021 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin Säkerhetsalternativ – Användarkontokontroll för läge för administratörer, beteende för utökade frågor och virtualisering av fil- och registerskrivningsfel. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Tilldelning av användarrättigheter" | Windows-datorer bör ha angivna grupprincip inställningar i kategorin "Tilldelning av användarrättigheter" för att tillåta inloggning lokalt, RDP, åtkomst från nätverket och många andra användaraktiviteter. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Granskning och ansvarsskyldighet
Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare så att de kan hållas ansvariga för sina åtgärder.
ID: CMMC L3 AU.2.041 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Monitor-loggprofilen bör samla in loggar för kategorierna "write", "delete" och "action" | Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "write", "delete" och "action" | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure Support regioner, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Virtuella datorer bör ha Log Analytics-tillägget installerat | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet.
ID: CMMC L3 AU.2.042 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| Aktivitetsloggen ska behållas i minst ett år | Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagarna är inställda på 0). | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure Support regioner, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Virtuella datorer bör ha Log Analytics-tillägget installerat | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
Avisering i händelse av ett fel i granskningsloggningsprocessen.
ID: CMMC L3 AU.3.046 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
Samla in granskningsinformation (t.ex. loggar) till en eller flera centrala lagringsplatser.
ID: CMMC L3 AU.3.048 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Resursloggar i IoT Hub ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 3.1.0 |
| Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Virtuella datorer bör ha Log Analytics-tillägget installerat | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
Skydda granskningsinformation och verktyg för granskningsloggning från obehörig åtkomst, ändring och borttagning.
ID: CMMC L3 AU.3.049 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
Säkerhetsbedömning
Utvärdera regelbundet säkerhetskontrollerna i organisationens system för att avgöra om kontrollerna är effektiva i deras program.
ID: CMMC L3 CA.2.158 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Övervaka säkerhetskontrollerna kontinuerligt för att säkerställa att kontrollerna fortsätter att vara effektiva.
ID: CMMC L3 CA.3.161 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Konfigurationshantering
Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling.
ID: CMMC L3 CM.2.061 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.2.0 |
Använd principen om minsta funktionalitet genom att konfigurera organisationssystem för att endast tillhandahålla viktiga funktioner.
ID: CMMC L3 CM.2.062 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.4 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – Privilegierad användning" | Windows-datorer ska ha de angivna grupprincip inställningarna i kategorin "Systemgranskningsprinciper – Privilegierad användning" för granskning av meningslös och annan behörighetsanvändning. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kontrollera och övervaka användarinstallerad programvara.
ID: CMMC L3 CM.2.063 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin Säkerhetsalternativ – Användarkontokontroll för läge för administratörer, beteende för utökade frågor och virtualisering av fil- och registerskrivningsfel. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem.
ID: CMMC L3 CM.2.064 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Spåra, granska, godkänna eller ogilla och logga ändringar i organisationssystem.
ID: CMMC L3 CM.2.065 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure Support regioner, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – principändring" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Systemgranskningsprinciper – principändring" för granskning av ändringar i systemgranskningsprinciper. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Begränsa, inaktivera eller förhindra användning av icke-nödvändiga program, funktioner, portar, protokoll och tjänster.
ID: CMMC L3 CM.3.068 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| CORS bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR. Om du vill skydda ditt API för FHIR tar du bort åtkomsten för alla domäner och definierar uttryckligen de domäner som tillåts att ansluta. | audit, Audit, disabled, Disabled | 1.1.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for MySQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP-baserade brandväggsregler. | Granska, neka, inaktiverad | 3.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Identifiering och autentisering
Autentisera (eller verifiera) identiteterna för dessa användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationens informationssystem.
ID: CMMC L3 IA.1.077 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas.
ID: CMMC L3 IA.2.078 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till angivet antal tecken. Standardvärdet för minsta längd på lösenord är 14 tecken | AuditIfNotExists, inaktiverad | 2.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Förhindra återanvändning av lösenord för ett angivet antal generationer.
ID: CMMC L3 IA.2.079 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord. Standardvärdet för unika lösenord är 24 | AuditIfNotExists, inaktiverad | 2.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Lagra och överför endast kryptografiskt skyddade lösenord.
ID: CMMC L3 IA.2.081 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 2.0.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Använd multifaktorautentisering för lokal åtkomst och nätverksåtkomst till privilegierade konton och för nätverksåtkomst till icke-privilegierade konton.
ID: CMMC L3 IA.3.083 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Använd återspelningsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade och icke-privilegierade konton.
ID: CMMC L3 IA.3.084 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Incidentsvar
Upprätta en funktion för hantering av driftincidenter för organisationssystem som omfattar förberedelse, identifiering, analys, inneslutning, återställning och användarsvarsaktiviteter.
ID: CMMC L3 IR.2.092 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Identifiera och rapportera händelser.
ID: CMMC L3 IR.2.093 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Distribuera Advanced Threat Protection för Cosmos DB-konton | Den här principen aktiverar Advanced Threat Protection mellan Cosmos DB-konton. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera Defender för lagring (klassisk) på lagringskonton | Den här principen aktiverar Defender för lagring (klassisk) på lagringskonton. | DeployIfNotExists, inaktiverad | 1.0.1 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Återställning
Utför och testa regelbundet säkerhetskopieringar av data.
ID: CMMC L3 RE.2.137 Ägarskap: Kund
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
Utför regelbundet fullständiga, omfattande och motståndskraftiga datasäkerhetskopior som organisatoriskt definierade.
ID: CMMC L3 RE.3.139 Ägarskap: Kund
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
Riskbedömning
Utvärdera regelbundet risken för organisationens verksamhet (inklusive uppdrag, funktioner, bild eller rykte), organisationstillgångar och individer, till följd av driften av organisationssystem och tillhörande bearbetning, lagring eller överföring av CUI.
ID: CMMC L3 RM.2.141 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Sök efter sårbarheter i organisationssystem och program regelbundet och när nya sårbarheter som påverkar dessa system och program identifieras.
ID: CMMC L3 RM.2.142 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Åtgärda sårbarheter i enlighet med riskbedömningar.
ID: CMMC L3 RM.2.143 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Riskhantering
Utför regelbundet riskbedömningar för att identifiera och prioritera risker enligt de definierade riskkategorierna, riskkällorna och kriterierna för riskmätning.
ID: CMMC L3 RM.3.144 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
System- och kommunikationsskydd
Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem.
ID: CMMC L3 SC.1.175 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for MySQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP-baserade brandväggsregler. | Granska, neka, inaktiverad | 3.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | Windows-datorer ska ha de angivna grupprincip inställningarna i kategorin Säkerhetsalternativ – Nätverksåtkomst för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk.
ID: CMMC L3 SC.1.176 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Använd krypterade sessioner för hantering av nätverksenheter.
ID: CMMC L3 SC.2.179 Ägarskap: Kund
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Använd FIPS-validerad kryptografi när den används för att skydda sekretessen för CUI.
ID: CMMC L3 SC.3.177 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 2.0.0 |
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | Att använda kundhanterade nycklar för att kryptera vilande data ger mer kontroll över nyckellivscykeln, inklusive rotation och hantering. Detta är särskilt relevant för organisationer med relaterade efterlevnadskrav. Detta utvärderas inte som standard och bör endast tillämpas när det krävs av efterlevnads- eller begränsande principkrav. Om de inte är aktiverade krypteras data med plattformshanterade nycklar. Om du vill implementera detta uppdaterar du parametern "Effekt" i säkerhetsprincipen för det tillämpliga omfånget. | Granska, neka, inaktiverad | 2.2.0 |
| Azure API för FHIR bör använda en kundhanterad nyckel för att kryptera vilande data | Använd en kundhanterad nyckel för att styra krypteringen i resten av de data som lagras i Azure API för FHIR när detta är ett regel- eller efterlevnadskrav. Kundhanterade nycklar levererar också dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardvärdet som görs med tjänsthanterade nycklar. | audit, Audit, disabled, Disabled | 1.1.0 |
| Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten | Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Explorer-kryptering i vila bör använda en kundhanterad nyckel | Om du aktiverar kryptering i vila med hjälp av en kundhanterad nyckel i ditt Azure Data Explorer-kluster får du ytterligare kontroll över nyckeln som används av krypteringen i vila. Den här funktionen gäller ofta för kunder med särskilda efterlevnadskrav och kräver ett Key Vault för att hantera nycklarna. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Stream Analytics-jobb bör använda kundhanterade nycklar för att kryptera data | Använd kundhanterade nycklar när du på ett säkert sätt vill lagra metadata och privata datatillgångar för dina Stream Analytics-jobb i ditt lagringskonto. Detta ger dig total kontroll över hur dina Stream Analytics-data krypteras. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Synapse-arbetsytor bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att styra krypteringen i resten av de data som lagras på Azure Synapse-arbetsytor. Kundhanterade nycklar levererar dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardkryptering med tjänsthanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | Kryptering av operativsystem och datadiskar med kundhanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| Certifikat som använder RSA-kryptografi bör ha den angivna minsta nyckelstorleken | Hantera organisationens efterlevnadskrav genom att ange en minsta nyckelstorlek för RSA-certifikat som lagras i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Containerregister ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. | Granska, neka, inaktiverad | 1.1.2 |
| Diskkryptering ska vara aktiverat i Azure Data Explorer | Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. | Granska, neka, inaktiverad | 2.0.0 |
| Dubbel kryptering ska aktiveras i Azure Data Explorer | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 2.0.0 |
| Infrastrukturkryptering ska vara aktiverat för Azure Database for MySQL-servrar | Aktivera infrastrukturkryptering för Azure Database for MySQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Infrastrukturkryptering bör aktiveras för Azure Database for PostgreSQL-servrar | Aktivera infrastrukturkryptering för Azure Database for PostgreSQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar | Granska, neka, inaktiverad | 1.0.0 |
| Nycklar ska vara den angivna kryptografiska typen RSA eller EC | Vissa program kräver att nycklar som backas upp av en viss kryptografisk typ används. Framtvinga en viss typ av kryptografisk nyckel, RSA eller EC, i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklar som använder elliptisk kurvkryptografi ska ha de angivna kurvnamnen | Nycklar som backas upp av elliptisk kurvkryptografi kan ha olika kurvnamn. Vissa program är endast kompatibla med specifika elliptiska kurvnycklar. Framtvinga de typer av elliptiska kurvnycklar som tillåts skapas i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklar som använder RSA-kryptografi bör ha en angiven minsta nyckelstorlek | Ange den minsta tillåtna nyckelstorleken som ska användas med dina nyckelvalv. Användning av RSA-nycklar med små nyckelstorlekar är inte en säker metod och uppfyller inte många krav för branschcertifiering. | Granska, neka, inaktiverad | 1.0.1 |
| Kräv kryptering på Data Lake Store-konton | Den här principen säkerställer att kryptering är aktiverat på alla Data Lake Store-konton | avvisa | 1.0.0 |
| Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör använda kundhanterad nyckel för kryptering | Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granskning, inaktiverad | 1.0.3 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem.
ID: CMMC L3 SC.3.180 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Separera användarfunktioner från systemhanteringsfunktioner.
ID: CMMC L3 SC.3.181 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag).
ID: CMMC L3 SC.3.183 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| CORS bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR. Om du vill skydda ditt API för FHIR tar du bort åtkomsten för alla domäner och definierar uttryckligen de domäner som tillåts att ansluta. | audit, Audit, disabled, Disabled | 1.1.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for MySQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP-baserade brandväggsregler. | Granska, neka, inaktiverad | 3.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | Windows-datorer ska ha de angivna grupprincip inställningarna i kategorin Säkerhetsalternativ – Nätverksåtkomst för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
Implementera kryptografiska mekanismer för att förhindra obehörigt avslöjande av CUI under överföring om inget annat skyddas av alternativa fysiska skyddsåtgärder.
ID: CMMC L3 SC.3.185 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Upprätta och hantera kryptografiska nycklar för kryptografi som används i organisationssystem.
ID: CMMC L3 SC.3.187 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
| Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
| Nyckelvalv bör ha mjuk borttagning aktiverat | Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. | Granska, neka, inaktiverad | 3.0.0 |
| Nycklar ska vara den angivna kryptografiska typen RSA eller EC | Vissa program kräver att nycklar som backas upp av en viss kryptografisk typ används. Framtvinga en viss typ av kryptografisk nyckel, RSA eller EC, i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklar som använder elliptisk kurvkryptografi ska ha de angivna kurvnamnen | Nycklar som backas upp av elliptisk kurvkryptografi kan ha olika kurvnamn. Vissa program är endast kompatibla med specifika elliptiska kurvnycklar. Framtvinga de typer av elliptiska kurvnycklar som tillåts skapas i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
| Nycklar som använder RSA-kryptografi bör ha en angiven minsta nyckelstorlek | Ange den minsta tillåtna nyckelstorleken som ska användas med dina nyckelvalv. Användning av RSA-nycklar med små nyckelstorlekar är inte en säker metod och uppfyller inte många krav för branschcertifiering. | Granska, neka, inaktiverad | 1.0.1 |
Skydda autenticiteten hos kommunikationssessioner.
ID: CMMC L3 SC.3.190 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Certifikat som använder RSA-kryptografi bör ha den angivna minsta nyckelstorleken | Hantera organisationens efterlevnadskrav genom att ange en minsta nyckelstorlek för RSA-certifikat som lagras i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Skydda konfidentialiteten för CUI i vila.
ID: CMMC L3 SC.3.191 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten | Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Diskkryptering ska vara aktiverat i Azure Data Explorer | Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. | Granska, neka, inaktiverad | 2.0.0 |
| Dubbel kryptering ska aktiveras i Azure Data Explorer | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 2.0.0 |
| Infrastrukturkryptering ska vara aktiverat för Azure Database for MySQL-servrar | Aktivera infrastrukturkryptering för Azure Database for MySQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Infrastrukturkryptering bör aktiveras för Azure Database for PostgreSQL-servrar | Aktivera infrastrukturkryptering för Azure Database for PostgreSQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar | Granska, neka, inaktiverad | 1.0.0 |
| Kräv kryptering på Data Lake Store-konton | Den här principen säkerställer att kryptering är aktiverat på alla Data Lake Store-konton | avvisa | 1.0.0 |
| Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
System- och informationsintegritet
Identifiera, rapportera och korrigera fel i informations- och informationssystemet i tid.
ID: CMMC L3 SI.1.210 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, inaktiverad | 1.0.2 |
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
Ge skydd mot skadlig kod på lämpliga platser i organisationens informationssystem.
ID: CMMC L3 SI.1.211 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. | AuditIfNotExists, inaktiverad | 1.1.0 |
Uppdatera mekanismerna för skydd mot skadlig kod när nya versioner är tillgängliga.
ID: CMMC L3 SI.1.212 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
Utföra regelbundna genomsökningar av informationssystemet och realtidsgenomsökningar av filer från externa källor när filer laddas ned, öppnas eller körs.
ID: CMMC L3 SI.1.213 Ägarskap: Delad
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. | AuditIfNotExists, inaktiverad | 1.1.0 |
Övervaka organisationssystem, inklusive inkommande och utgående kommunikationstrafik, för att identifiera attacker och indikatorer för potentiella attacker.
ID: CMMC L3 SI.2.216 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure Support regioner, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Identifiera obehörig användning av organisationssystem.
ID: CMMC L3 SI.2.217 Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aktivitetsloggen ska behållas i minst ett år | Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagarna är inställda på 0). | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Monitor-loggprofilen bör samla in loggar för kategorierna "write", "delete" och "action" | Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "write", "delete" och "action" | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure Support regioner, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.