[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas |
Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. |
audit, Audit, deny, Deny, disabled, Disabled |
3.1.0-preview |
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn |
Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. |
AuditIfNotExists, inaktiverad |
3.0.0 |
App Service-appar bör endast vara tillgängliga via HTTPS |
Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. |
Granska, inaktiverad, Neka |
4.0.0 |
App Service-appar bör använda den senaste TLS-versionen |
Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. |
AuditIfNotExists, inaktiverad |
2.1.0 |
Azure AI Services-resurser bör begränsa nätverksåtkomsten |
Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. |
Granska, neka, inaktiverad |
3.2.0 |
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter |
Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. |
Granska, neka, inaktiverad |
1.0.2 |
Containerregister bör inte tillåta obegränsad nätverksåtkomst |
Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. |
Granska, neka, inaktiverad |
2.0.0 |
Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp |
Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. |
Granskning, inaktiverad |
1.1.0 |
Funktionsappar bör endast vara tillgängliga via HTTPS |
Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. |
Granska, inaktiverad, Neka |
5.0.0 |
Funktionsappar bör använda den senaste TLS-versionen |
Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. |
AuditIfNotExists, inaktiverad |
2.1.0 |
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper |
Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc |
AuditIfNotExists, inaktiverad |
3.0.0 |
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall |
Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. |
audit, Audit, deny, Deny, disabled, Disabled |
6.2.0 |
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk |
Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer |
AuditIfNotExists, inaktiverad |
3.0.0 |
Network Watcher ska vara aktiverat |
Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. |
AuditIfNotExists, inaktiverad |
3.0.0 |
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper |
Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc |
AuditIfNotExists, inaktiverad |
3.0.0 |
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade |
Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning |
Granska, neka, inaktiverad |
1.0.0 |
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras |
Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. |
Granska, neka, inaktiverad |
1.1.0 |
Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar |
Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. |
Granska, neka, inaktiverad |
2.0.0 |
Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar |
Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for MySQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. |
Granska, neka, inaktiverad |
2.1.0 |
Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar |
Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. |
Granska, neka, inaktiverad |
2.0.0 |
Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar |
Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP-baserade brandväggsregler. |
Granska, neka, inaktiverad |
3.1.0 |
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar |
Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. |
Granska, neka, inaktiverad |
2.0.1 |
Säker överföring till lagringskonton ska vara aktiverad |
Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning |
Granska, neka, inaktiverad |
2.0.0 |
Lagringskonton bör begränsa nätverksåtkomsten |
Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet |
Granska, neka, inaktiverad |
1.1.1 |
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway |
Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. |
Granska, neka, inaktiverad |
2.0.0 |
Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway |
Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. |
Granska, neka, inaktiverad |
1.0.0 |
Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service |
Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. |
Granska, neka, inaktiverad |
1.0.0 |
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll |
För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. |
AuditIfNotExists, inaktiverad |
4.1.1 |
Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" |
Windows-datorer ska ha de angivna grupprincip inställningarna i kategorin Säkerhetsalternativ – Nätverksåtkomst för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. |
AuditIfNotExists, inaktiverad |
3.0.0 |
Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" |
Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. |
AuditIfNotExists, inaktiverad |
3.0.0 |