Detalles de la iniciativa integrada CIS CUMPLIMIENTO REGULATORIO DE MICROSOFT AZURE BENCHMARKDMARDDIPDAILDIALES DE LA CIS MICROSOFT AZURE FUNDACIONES Benchmark Cumplimiento regulatorio incorporado

  • 02/09/2021
  • 33 Minutos de lectura
    • D
    • O

El siguiente artículo explica en detalle cómo la definición de la política de cumplimiento regulatorio integrado se asigna a áreas de cumplimiento y controles en CIS Microsoft Azure Foundations Benchmark.El seguimiento Detalles del artículo Cómo la definición incorporada del cumplimiento de la política de Azure Mapas para los dominios y controles de cumplimiento en la CIS Microsoft Azure Foundations Benchmark. Para obtener más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark. Para obtener más información sobre este estándar de cumplimiento, consulte CIS Fundaciones de Microsoft Azure Punto de referencia. Para comprender la propiedad, consulte Configuración de la estrategia de la política de Azure y la responsabilidad compartida en la nube. Para comprender la propiedad, consulte la definición de política de políticas de Azure y la responsabilidad compartida en la nube

Las siguientes conexiones están relacionadas con los controles de Microsoft CIS Azures. Benchmark Foundations. Las siguientes asignaciones son los controles de referencia de CIS Microsoft Azure Foundations. Utilice el panel de navegación adecuado para acceder directamente a un campo de conformidad específico. Use la navegación en la derecha para saltar directamente a un dominio de cumplimiento específico. Muchos controles se implementan con la definición de una iniciativa Política de Azure. Muchos de los controles se implementan con una iniciativa de definición de política de Azure. Para revisar la definición de iniciativa completa, la estrategia abierta en el portal de Azure y selecciona las definiciones. Para revisar la iniciativa de definición completa, la política abierta en el portal de Azure y seleccione la página.Suite, busque y seleccione la definición de la iniciativa reguladora integrada CIS Microsoft Azure Foundations Benchmark 1.1.0.En, busque y seleccione la iniciativa de definición incorporada de CIS Microsoft Azure Foundations Foundations Benchmark 1.1.0.

Esta iniciativa integrada se despliega en el marco del ejemplo de Blueprint CIS Microsoft Azure Foundations Benchmark. Esta iniciativa incorporada se implementa como parte de la muestra de Blueprint de Benchmark Microsoft Azure Foundations.

IMPORTANTE

Cada control A continuación se asocia con uno o más Política de Azure. Cada control a continuación se asocia con una o más definiciones de políticas de Azure. Estas estrategias pueden ayudarlo a evaluar el cumplimiento de AV Control de la CE; Sin embargo, no hay una correspondencia única o perfecta entre el control y una o más estrategias. Estas políticas pueden ayudarlo a evaluar el cumplimiento del control; Sin embargo, a menudo no hay una combinación completa de oro a uno entre un control y una o más policías. Por lo tanto, el cumplimiento en la política de Azure solo se refiere a las propias definiciones de la estrategia; Esto no garantiza que esté totalmente compatible con todos los requisitos de un control. Aspectos, que cumplen con la política de Azure se invierte solo a las definiciones de políticas en sí mismos; Esto no garantiza que esté totalmente compatible con todos los requisitos de un control. Además, la norma de cumplimiento incluye controles que no son procesados por cualquier definición de política de Azure para el momento. Además, la norma de cumplimiento incluye los controles que no están abordados por ninguna definición de política de Azure en este momento. Por lo tanto, el cumplimiento de la política de Azure es solo una visión parcial del estado global. Por lo tanto, el cumplimiento, el cumplimiento de la política de Azure es solo una visión parcial de su estado de cumplimiento general. Las asociaciones entre los campos de la conformidad, los controles y las definiciones La política de Azure para esta Norma de Cumplimiento puede cambiar con el tiempo. Las asociaciones entre dominios de cumplimiento, controles y definiciones de políticas de Azure para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver los cambios de historial, echa un vistazo a la historia del Github.Para ver el historial de cambios, consulte la historia de GitHub.

Identidad y accesoIntidad y adhesión. Administración de acceso

Compruebe que la autenticación multifactor esté habilitada para todos los usuarios privilegiados que la autenticación de factores múltiples está habilitada para todos los usuarios privilegiados

ID: CISS PROPIEDAD AZURE 1.1: CustomerID: CIS AZURE 1.1 propiedad: cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) efecto (s) Versicorendion
La autenticación multifactor debe activarse en las cuentas con los permisos de escritura en su suscriptualMfa debe habilitarse las cuentas con los permisos de escritura en su suscripción MFA (autenticación multifactor) debe estar habilitada para todas las cuentas de suscripción con los privilegios de acceso de escritura para evitar una violación de las cuentas o recursos. La autenticación del factor multi (MFA) debe habilitarse para todas las cuentas de suscripción con privilegios de escritura para evitar una violación de Cuentas de recursos de oro. auditifnotexistsists, deshabilayitifnexistsists, deshabilitado 3.0.03.0.0
La autenticación multifactor (MFA) debe activarse en las cuentas con el propietario Las autorizaciones en su suscripción, se deben habilitar las cuentas con los permisos de propietario en su suscripción MFA (autenticación de factores múltiples) deben habilitarse para todas las cuentas de la suscripción con el propietario de las autorizaciones para evitar una violación de cuentas o recursos La autenticación de Multi-Factor (MFA) debe habilitarse para todas las cuentas de suscripción con los permisos de propietario para evitar un incumplimiento de los recursos de oro de las cuentas. \ «>

Verifique que la autenticación multifactor esté habilitada para todos los usuarios no privilegiados que la autenticación de factores múltiples está habilitada para todos los usuarios no privilegiados

ID: CIS AZURE 1.2 Propiedad: CustomerID: CIS AZURE 1.2 Propiedad: Cliente

namename
(Azure Portal) (Azure Portal)
Descripción Descripción efecto (s) efecto (s) Versicorendion
(GitHub)
La autenticación multifactor (MFA) debe activarse en las cuentas con las autorizaciones de la lectura en su suscripción, se debe habilitar en las cuentas con leer Los permisos en su suscripción MFA (Autenticación multifactor) deben activarse para todos los COS Suscripción con los privilegios de lectura para evitar una violación de las cuentas o recursos. La autenticación de conformidad (MFA) debe habilitarse para todas las cuentas de suscripción con privilegios de lectura para evitar un incumplimiento de los recursos de oro. \ «>

Compruebe que no hay un usuario invitado a que no haya usuarios invitados

ID: CISTOMEID PROPIEDAD 1.3: CustomerID: CIS Azure 1.3 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción efecto (s) efecto (s) VersionFronsion
Las cuentas externas con los permisos de propietario deben eliminarse de sus cuentas de suscripción relacionadas con los permisos de propietario deben eliminarse de su suscripción cuentas externas con permisos de tipo propietario deben eliminarse de su suscripción a Evite el acceso incontrolado. Cuentas externas con permiso del propietario S debe ser eliminado de su suscripción para evitar el acceso no monitorido. auditifnotexists, auditales deshabilitados, deshabilitado 3.0.03.0.0
Las cuentas externas con permisos de reproducción deben eliminarse de su Las cuentas externas de suscripción con permisos de lectura deben eliminarse de su suscripción las cuentas externas con los privilegios de acceso de lectura deben eliminarse de su suscripción para evitar el acceso incontrolado. Las cuentas externas con privilegios de lectura deben eliminarse de su suscripción para evitar Acceso no monitoreado. auditifnotExistsists, deshabáudeizados, deshabilitado 3.0.03.0.0
Las cuentas externas con permisos de escritura deben eliminarse de sus cuentas relacionadas con su suscripción Con los permisos de escritura se deben eliminar de su suscripción las cuentas externas con privilegios de acceso de escritura deben eliminarse de su suscripción para evitar el acceso incontrolado.Las cuentas externas con privilegios de escritura deben eliminarse de su suscripción para evitar el acceso no monitorido. AuditifnoteExistsistsistes, deshabilitifnotExists, deshabilitado 3.0.03.0.0

Comprobar que no se crea ningún rol de propietario de suscripción personalizado que no se crean roles de propietario de suscripción personalizado

ID: CISTOMEID PROPIEDAD 1.23: CustomerID: CIS AZURE 1.23 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) efecto (s) Versicorendion
Los roles de propietario de suscripción personalizados no deben existir los roles del propietario de la suscripción no deben existir Esta estrategia garantiza que no haya ningún papel como propietario de suscripción personalizado. Este essores de política que No existen roles de propietario de suscripción personalizados. auditoría, deshabilitar, deshabilitado 2.0.02.0.0

Centro de seguridad de seguridad

Verifique que se seleccione el nivel arancelario estándar que se selecciona el nivel de precios estándar

ID: propiedad CIS AZURE 2.1: CustomerID: CIS Azure 2.1 Propiedad: Cliente

namename
(portal Azure) (Portal de Azure )
Descripción Descripción Efecto (s) efecto (s) efecto (s) Versicorendion
El nivel de la tarifa del Centro de seguridad estándar debe ser seleccionado que se debe seleccionar el nivel de precios estándar del centro El nivel arancelario estándar permite el Detección de amenazas en redes y máquinas virtuales, proporcionando funciones de inteligencia sobre amenazas, detección de anomalías y analítica. E de comportamiento en los centros de seguridad de Azure El nivel de precios estándar permite la detección de amenazas para las redes y las máquinas virtuales, que proporcionan inteligencia de amenazas, detección de anomalías y análisis de comportamiento en el Centro de Seguridad Azure Auditoría, Disableaudit, Discapacitados 1.0.01.0.0

Verifique que la opción «Aprovisionamiento automático de El agente de supervisión «se establece en» ON «, asegúrese de que» el aprovisionamiento automático del agente de monitoreo «se establece en ‘ON’

ID: CISS AZURE 2.2: CustomerID: CIS Azure 2.2 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) efecto (s) efecto (s) Versicorendion
El aprovisionamiento automático del agente de análisis de registro debe activarse en su El aprovisionamiento de abonamientos del Agente de Log Anntics debe habilitarse en su suscripción para supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopile datos de su Azure.Para monitorear las vulnerabilidades de seguridad máquinas y amenazas virtuales, el Centro de seguridad de Azure recoge Datos de sus máquinas virtuales de Azure. Los datos son recopilados por el agente de análisis de registro, previamente llamado Microsoft Monitoring Agent (MMA). Este agente lee varios registros de eventos y configuraciones relacionadas con la seguridad de la máquina, luego copie los datos en su espacio de trabajo de registro de registro para fines de análisis. Se recopila el Agente de Analítica de Log, conocido capacitado como el Agente Monitoreo de Microsoft (MMA), que Lee varias configuraciones y registros de eventos relacionados con la seguridad de la máquina y copia los datos a su área de trabajo de registro de registro para su análisis. Recomendamos que active el suministro automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure compatibles y en todos los creados. Recomendamos permitir que el aprovisionamiento automático despliegue automáticamente el agente a todos los máquinas virtuales de Azure y cualquier otro. auditifnotexistsistsistsistes, deshabilitifnotexists, deshabilitado 1.0.11.0.1

Verifique que la configuración predeterminada de la Política CSA» MONITOR ACTUALIZACIONES DEL SISTEMA «no se establece en» Deshabilitado «Asegúrese de que la configuración de la Política predeterminada ASC» Monitorizar las actualizaciones del sistema «no está» deshabilitada «

ID: CIS AZURE 2.3: CustomerID: CIS AZURE 2.3 propiedad: cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) efecto (s) Versicorendion
Las actualizaciones del sistema deben instalarse en sus actualizaciones de Machinesystem se deben instalar en sus máquinas Las actualizaciones de SISTEMA DE SEGURIDAD FALTADOS en sus servidores Ser supervisado por Azure Security Center como las actualizaciones de SISTEMA DE SEGURIDAD DE RECOMENDACIÓN en sus servidores serán monitoreados por Azure Security Center como recomendaciones auditifnotexists, deshabilayitifnotexistsists, deshabilitado 3.0.03.0.0

Verifique que la configuración predeterminada de la póliza AGC «Monitorea las vulnerabilidades del sistema operativo» no se establece en » Discapacitado «Ensur E ASS ASC POR POLÍTICA DE POLÍTICA «Monitor de vulnerabilidades del sistema operativo» no está «deshabilitado»

ID: CIST Property Azure 2.4: CustomerID: CIS Azure 2.4 Propiedad: Cliente

namename (portal Azure) (Portal de Azure) Descripción Descripción Efecto (s) Efecto (s) versrenyion
Las vulnerabilidades en la configuración de seguridad en sus máquinas deben corregirse a las máquinas de trabajo deben corregirse en sus máquinas no deben cumplir con los servidores que no respeten la base de la referencia configurada será supervisado por Azure Security Center como recomendaciones que no satisfagan la línea de base configurada Será monitoreado por Azure Security Center como recomendaciones auditifnotexistsistsistsistes, deshabáudeizados, deshabilitado 3.0.03.0 .0

Verifique que la configuración de Política predeterminada de la Política predeterminada» PRE PROTECCIÓN DE PUNTOS DE PIGURE «no se establece en» Deshabilitado «Asegúrese de que la configuración de Política predeterminada de ASC» MONITE PROTECCIÓN DE PUNTOS DE ENDPINT «no está» deshabilitado «

ID: CISS AZURE 2.5: CustomerID: CIS Azure 2.5 Propiedad: Cliente

namename
(portal Azure) (Portal de Azure)
Descripción Descripción efecto (s) efecto (s) Versicorendion
supervisar los agentes de protección de punto final en la seguridad de Azure Centermonitor PROTECCIÓN DE PERMOIN DE PUNTO EN EL CENTRO DE SEGURIDAD DE AZURE Los servidores sin el Agente de Protección endpoint instalado serán supervisados por Azure Security Center, ya que las recomendaciones de Azure Security sin un agente de protección de punto final instalado serán monitoreados por Azure Security C Ingrese como recomendaciones auditifnotexistsistsists, deshabilayitifnexistsists, deshabilitado 3.0.03.0.0

Verifique que la configuración predeterminada de la Política CSA «El cifrado de disco de monitor» no se establece en «Deshabilitado» Asegúrese de que la configuración de la póliza predeterminada de ASC «Monitor de cifrado de disco» no está «deshabilitado»

ID: CISS propiedad Azure 2.6: CustomerID: CIS AZURE 2.6 Propiedad: Cliente

Las máquinas virtuales de

NameName (Portal de Azure) (Portal de Azure) Descripción Descripción Efecto (s) efecto (s) Versicorendion
El cifrado de disco se debe aplicar a Máquinas virtuales El cifrado debe aplicarse en máquinas virtuales sin cifrado de disco activado serán supervisadas por Azure Securit Allí, como recomendaciones. Las máquinas virtuales sin un cifrado de disco habilitado serán monitoreadas por Azure Security Center según lo recomendado. auditifnotexistsists, deshabilayitifnotexexists, deshabilitado 2.0.02.0.0

verifique que el parámetro de política predeterminado asc» supervise los grupos de seguridad de la red «no se establece en» Deshabilitado «Asegúrese de que la configuración de la Política predeterminada de ASP» Monitoree los grupos de seguridad de la red «no está» deshabilitada «

ID: CIS AZURE 2.7: CustomerID: CIS AZURE 2.7 Propiedad: cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) efecto (s) Versicorendion
Red de adaptación Las recomendaciones de refuerzo de la red deben aplicarse a las máquinas virtuales accesibles desde Internetadaptive Network Harding Recomendaciones se deben aplicar en las máquinas virtuales frente a Internet Azure Security Center analiza las tendencias de tráfico de las máquinas virtuales accesibles en Internet y proporciona recomendaciones sobre las reglas del grupo de seguridad de la red para usar para reducir la superficie del ataque Potentialezure Security Center analiza los patrones de tráfico de las máquinas virtuales de Internet que enfrentan las máquinas virtuales y la regla del grupo de seguridad de la red de Internet Recomendaciones que reducen la superficie de ataque potencial auditivo NOXISTISTAS, INACHECAUDITIFNOTEXISTESIJE, discapacitado 3.0.03.0.0

ID: CIS AZURE 2.9: CustomerID: CIS AZURE 2.9 Propiedad: Cliente

Las subredes

Namenar nombre (Portal de Azure) (Portal de Azure) Descripción Descripción Efecto (s) efecto (s) Versicorendion
(GitHub) (Github)
Las máquinas virtuales accesibles desde Internet deben estar protegidas Con las máquinas virtuales de la seguridad de la red, las máquinas virtuales, deben protegerse con los grupos de seguridad de la red proteger sus máquinas virtuales contra las amenazas potenciales al limitar su acceso con los grupos de seguridad de red (NSG) .Proteccione sus máquinas virtuales de las amenazas potenciales al restringir Acceso a ellos con grupos de seguridad de red (NSG). Para obtener más información sobre el control de tráfico con los grupos de seguridad de red, consulte https://aka.ms/nsg-doc.Learn más sobre el control del tráfico con NSGS a https://aka.ms/nsg-doc AuditifNotExists, auditales deshabilitados, discapacitados 3.0.03.0.0
Las subredes deben estar asociadas con un grupo Seconity Group Los reeasubnets deben estar asociados con un grupo de seguridad de red Protege su subred contra las amenazas potenciales al limitar el acceso con un grupo de seguridad de red (NSG) .Proteccione su subred de posibles amenazas al restringir el acceso a él con un grupo de seguridad de red (NSG). Los NSGS contienen una lista de reglas de la lista de control de acceso (LCD) que permiten o rechazan el tráfico de red a su SUBNET.NSGS contienen una lista de reglas de lista de control de acceso (ACL) que permiten el tráfico de red de Deny Gold a su subred. \ «>

Verifique que la configuración predeterminada de la Política AGC» Supervise la valoración de las vulnerabilidades «no se establece en» Deshabilitado «Asegúrese de que la configuración de la póliza predeterminada de ASC» Monitoree la evaluación de la vulnerabilidad «no esté» deshabilitada «

ID: CIS AZURE 2.10: CustomerID: CIS AZURE 2.10 PROPIEDAD: CLIENTE

Namenar
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) efecto (s) efecto (s) versionverendion
Una solución de vulnerabilidad de solución debe estar en su solución de evaluación de vulnerabilidad virtual de Machinesa que se debe agregar BEILLAD en sus máquinas virtuales Máquinas virtuales de auditoría para detectar si excen Utilice una solución de evaluación de vulnerabilidad. Audita a las máquinas virtuales para detectar si están ejecutando la solución de evaluación de vulnerabilidad compatible. La identificación y análisis de las vulnerabilidades constituyen un componente fundamental de cada programa de seguridad y evaluación de riesgo cibernético. El componente central de cada programa de riesgo y seguridad cibernética es la identificación y el análisis de las vulnerabilidades. El nivel arancelario estándar de Azure Security Center incluye el análisis de vulnerabilidad de sus máquinas virtuales sin costo adicional. El nivel de precios estándar del Centro de seguridad incluye la exploración de vulnerabilidad para sus máquinas virtuales sin costo adicional. Además, el Centro de seguridad puede implementar esta herramienta automáticamente para usted. En términos generales, el Centro de seguridad puede implementar automáticamente esta herramienta para usted. auditifnotexistsists, deshabáudeos, deshabilitado 3.0.03.0.0

Verifique que la configuración predeterminada de la política de CSA «MONITOR L ‘JIT RED ACCESO «No se establece en» Discapacitados «, asegúrese de la configuración de la póliza predeterminada de ASC» Monitor Jit Network Access «no está» deshabilitado «

ID: CISTOMEID PROPIEDAD 2.12: CustomerID: CIS AZURE 2.12 Propiedad: Cliente

namename
(portal Azure) (Portal de Azure)
Descripción Descripción efecto (s) efecto (s) Versicorendion
Los puertos de administración de máquinas virtuales deben estar protegidos por un control de control de control de máquinas virtuales de acceso a la red de justo a tiempo deben protegerse con el control de acceso a la red de justo a tiempo El acceso a tiempo (JIT) a la red será supervisado por Azure Security Center como Recomendación El acceso a la red justo en el tiempo (JIT) será supervisado por Azure Security Center como recomendaciones auditifnotExists, deshabáudeizados, deshabilitado 3.0.03.0.0

ID: Propiedad CIS Azure 2.13: CustomerID: CIS Azure 2.13 Propiedad: Cliente

Efecto (s) efecto (s) (s) (s) (s)

namename
(Portal de Azure) (Portal de Azure)
DescripciónDescripción Versicorendion
Controles de aplicación adaptativos Para establecer aplicaciones seguras deben habilitarse en sus máquinas Controles de aplicación para definir aplicaciones de aplicaciones seguras deben habilitarse en sus máquinas habilitar los controles de la aplicación para definir la lista de aplicaciones reconocidas confiables que se ejecuta en tus máquinas, y te advierte cuando Use las aplicaciones que se ejecutan. Controles de aplicaciones electrónicos para definir la lista de aplicaciones conocidas que se ejecutan en sus máquinas y le avisan cuando se ejecuten otras aplicaciones. Se refuerza la seguridad de sus máquinas contra el software malicioso. Esto ayuda a endurecer sus máquinas contra el malware. Para simplificar el proceso de configuración y mantenimiento de sus reglas, Security Center usa la máquina de aprendizaje para analizar aplicaciones que se ejecutan en cada máquina y sugieren la lista de aplicaciones reconocidas confiables. Para simplificar el proceso de configuración y mantenimiento de sus reglas, el Centro de seguridad utiliza el aprendizaje de la máquina. Para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditifnoteExistsistsistes, discapacitados, deshabilitado 3.0.03.0.0

verifique que el parámetro de supervisión de ASC» predeterminado «no esté configurado en» Deshabilitado «, asegúrese de que la configuración de la póliza predeterminada de ASC» Monitor SQL Auditing «no esté» deshabilitada «

ID: CISS PROPIEDAD AZURE 2.14: CustomerID: CIS AZURE 2.14 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) Efecto (s) efecto (s) Versicorendion
(GitHub) ( Github)
La auditoría en SQL Server debe estar activeaditing en SQL El servidor debe estar habilitado La auditoría en su servidor SQL Server debe estar habilitada para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. Auditoría en su SQL Server debe estar habilitado para rastrear las actividades de la base de datos en todas las bases de datos en el servidor y guardarlas en un registro de auditoría. auditifnotexistsists, deshabilayitifnotexexists, deshabilitado 2.0.02.0.0

verifique que la configuración predeterminada de la política de CSC» Monitor SQL CIPTHP «no está configurado en» Deshabilitado «Asegúrese de que la configuración de la póliza predeterminada de ASP» MONITOR SQL CIPTHING «NO está» deshabilitado «

ID: CIS AZURE 2.15: CustomerID: CIS AZURE 2.15 Propiedad: cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) efecto (s) Versicorendion
El cifrado de datos transparentes en las bases de datos de SQL debe ser ActivéTransparent Data Ciftion en las bases de datos SQL debe habilitarse El cifrado de datos transparente debe ser Habilitado para proteger los datos de descanso y cumplir con los requisitos del cifrado de datos complicados de Festransparent, debe habilitarse para proteger los requisitos de datos en reposo y cumplir con los requisitos de cumplimiento auditifnotexists, deshabilitif, deshabilitado 1.0.01.0 .0

Verifique que la opción «Emails de contacto de seguridad» esté configurado en ese Los ‘Emails de contacto de seguridad’ se establece

ID: propiedad CIS AZURE 2.16: CustomerID: CIS AZURE 2.16 Propiedad: Cliente

namename
(Portal de Azure) (portal Azure)
DescripciónDescripción Efecto (s) efecto (s) Versicorendion
(GitHub)
Las suscripciones deben tener la dirección de correo electrónico de un contacto para problemas de seguridadBscripciones debe tener una dirección de correo electrónico de contacto para la seguridad Desde para informar a las personas involucradas en su organización de una posible violación de seguridad en una de sus suscripciones, definir un contacto de seguridad que recibirá notificaciones por correo electrónico en el centro de seguridad. Para garantizar a las personas latentes en su organización Se notifica cuando hay una posible violación de seguridad en una de sus suscripciones, establezca un contacto de seguridad para recibir notificaciones por correo electrónico del centro de seguridad. auditifnotexistsistsistsistes, deshabilitifnotexists, deshabilitado 1.0.11.0.1

verifique que la opción» envíe una notificación por correo electrónico para alertas de alta gravedad «se establece en» ON «, asegúrese de que ‘Enviar notificación por correo electrónico para alertas de alta severidad’ está configurado en ‘ON’

ID: CISS PROPIEDAD AZURE 2.18: CustomerID: CIS AZURE 2.18 Propiedad: Cliente

Namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) efecto (s) efecto (s) Versicorendion
Notificación por correo electrónico para alertas de alta gravedad debe ser la notificación de correo de gravedad para alertas de alta severidad Debe habilitar informar a las personas involucradas en su organización de una posible violación de seguridad en uno de v Suscripciones del sistema operativo, habilite las notificaciones por correo electrónico para alertas de alta gravedad en el centro de seguridad. En el centro de seguridad. auditifnotexistsistsistsistes, deshabilitifnotexists, deshabilitado 1.0.11.0.1

verifique que la opción» envíe un correo electrónico a los propietarios de suscripción «se establece en» ON «, asegúrese de que ‘Enviar correo electrónico también a los propietarios de suscripción’ se establece en ‘ON’

ID: CISS PROPIEDAD AZURE 2.19: CustomerID: CIS AZURE 2.19 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
DescripciónDescripción Efecto (s) efecto (s) VersionVerendion
(GitHub ) (GitHub)
Notificación por e -mail a la suscripción El propietario para alertas de alta gravedad debe ser ActivatedMail Notificación al propietario de la suscripción para alertas de alta severidad debe estar habilitado para informar a los propietarios de suscripción de una posible violación de seguridad Está en su suscripción, active el envío de notificaciones por correo electrónico a estos propietarios para alertas de alta gravedad en el Centro de seguridad. Para garantizar que se le notifique a sus propietarios de suscripción cuando haya un posible incumplimiento de seguridad en su suscripción, configure las notificaciones por correo electrónico a los propietarios de suscripción de alta Alertas de severidad en el centro de seguridad. AuditifNotExists, deshabáudeizados, deshabilitado 1.0.11.0.1

Cuentas de almacenamiento

Verifique que » La transferencia segura requerida «está configurado en» Habilitado «, asegúrese de que ‘Se requiere transferencia segura’ se establece en ‘habilitado’

ID: CIS AZURE 3.1: CustomerID: CIS Azure 3.1 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción efecto (s) efecto (s) VersionFronsion
Asegurar la transferencia a las cuentas de almacenamiento debe ser activada La transferencia a las cuentas de almacenamiento debe habilitarse Audit l ‘Requisito de transferencia segura en su cuenta de almacenamiento. Requisito de transferencia segura en su cuenta de almacenamiento . La opción de seguridad de transferencia requiere que su cuenta de almacenamiento acepte solo las consultas de las conexiones seguras (HTTPS). La transferencia. El uso de HTTPS garantiza la autenticación entre el servidor y el servicio y protege los datos en tránsito contra los ataques de la capa de red (ataque del interceptor o «hombre en el medio», escuchando el secuestro. Sesión). De HTTPS Ensorestract entre el servidor y el servicio y protege los datos en tránsito de los ataques de la capa de red, como el hombre en el medio, el escalofrío y la sesión-secuestro auditoría, rechazar, deshabilitar, deshabilitar, deshabilitar 2.0.02.0.0

Verifique que » El nivel de acceso público «se establece en privado para los contenedores de objetos Blobensure que ‘Nivel de acceso público’ se establece en privado para contenedores de blob

ID: CIS AZURE 3.6 Propiedad: CustomerID: CIS Azure 3.6 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) Efecto (s) (s) VersionEverendion
El acceso público a la cuenta de almacenamiento debe ser la cuenta interdretartage. El acceso público debe ser rechazado acceso en lectura pública anónima a contenedores y blobs en el almacenamiento de Azure es una forma conveniente de compartir datos, pero puede presentar seguridad Riesgo. El acceso al público enónimo de los contenedores y los blobs en el almacenamiento de Azure es una forma conveniente de compartir datos, pero podría presentar riesgos de seguridad. Para evitar las violaciones de datos causadas por el acceso anónimo no deseado, Microsoft recomienda prevenir el acceso público a una cuenta de almacenamiento, a menos que su escenario lo requiera. Para evitar que los datos brotados sean de acceso anónimo Dédesed, Microsoft recomienda prevenir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. auditoría, denegada, deshabacaudit, dened, deshabilitado 2.0.1-Preview2.0.1-Preview

Verifique que la regla de acceso a la red predeterminada para las cuentas de almacenamiento esté configurada en REFUSERENSURE POR PAL PAL EXFAMARIO La regla de acceso a la red para las cuentas de almacenamiento se establece en DENY

ID : CIS AZURE PROPIEDAD 3.7: CustomerID: CIS AZURE 3.7 PROPIEDAD: CLIENTE

namename
(Portal de Azure) (Portal Azure)
DESCRIPCIÓN DESCRIPCIÓN (S) Efecto (s) Efecto (s) Efecto (S) Versicorendion
(GitHub) (GitHub)
Las cuentas de almacenamiento deben limitar las cuentas de acceso de reasaveustorage deben restringir el acceso a la red La red Acceso a las cuentas de almacenamiento debe ser limitado. Se debe restringir el acceso a las cuentas de almacenamiento. Configure las reglas de la red de tal manera que solo las aplicaciones de redes autorizadas puedan acceder a la cuenta de almacenamiento. Reglas de la red de configuración para que solo las aplicaciones de las redes permitidas puedan acceder a la cuenta de almacenamiento. Para permitir conexiones de Internet específicas o clientes locales, se puede permitir el acceso de tráfico de las redes virtuales de Azure específicas o a las playas de la dirección IP de Internet pública. Para permitir que las conexiones de Internet específicas de Internet On-locales, el acceso se puede otorgar al tráfico desde redes virtuales Azure específicas o Para los rangos de direcciones IP de Internet pública auditoría, rechazo, disablaje, denegada, deshabilitado 1.1.11.1.1

Verifique que la opción «Servicios de Microsoft» aprobada esté activada para el ‘ El acceso a la cuenta de almacenamiento ‘Microsoft Services’ está habilitado para el acceso a la cuenta de almacenamiento

ID: CISTOMERID PROPIEDAD 3.8: CustomerID: CIS AZURE 3.8 Propiedad: Cliente

namename portal Azure) Efecto (s) de descripción (s) versionverendion
Las cuentas de almacenamiento deben Permitir el acceso de los Servicios de Microsoft ApremojedStorage Cuentas debe permitir el acceso de los servicios de Microsoft de confianza algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento trabajan de las redes que no pueden obtener acceso a través de las reglas de la red. Algunos servicios de Microsoft T Los sombreros interactúan con las cuentas de almacenamiento operan de las redes que no se les puede otorgar acceso a través de reglas de red. Para que este tipo de servicio funcione según lo planeado, permita que todos los Servicios de Microsoft aprobados puedan pasar por alto las Reglas de la Red. Para ayudar a este tipo de trabajo de servicio con la intención, permitir que el conjunto de servicios de Microsoft de confianza omite las reglas de la red. Estos servicios luego usan una autenticación sólida para acceder a la cuenta de almacenamiento. Estos servicios usarán una autenticación sólida para acceder a la cuenta de almacenamiento. auditoría, rechazado, deshabilitado, denegado, deshabilitado 1.0.01.0.0

Servicios de base de datos Servicios de batas de datos

Verifique que la opción «Auditoría» esté configurada en «ON», asegúrese de que ‘Auditoría’ esté configurada en ‘ON’

ID: CISS propiedad Azure 4.1: CustomerID: CIS AZURE 4.1 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
DESCRIPCIÓN DESCRIPCIÓN (S) Efecto (s) efecto (s) Versicorendion

La auditoría en SQL Server debe activarse en SQL Server debe estar habilitado La auditoría en su servidor SQL debe estar habilitada para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. Debe habilitarse en su servidor SQL para rastrear la Ley de la base de datos Ignities en todas las bases de datos en el servidor y guárdelas en un registro de auditoría. auditifnotexistsists, deshabilayitifnotexexists, deshabilitado 2.0.02.0.0

Verifique que» AuditandionGroups «en la estrategia de» Auditoría «para un servidor SQL se define correctamente que ‘Auditandgroups’ en la política de ‘Auditoría’ para un servidor SQL se configura correctamente

ID: CIS CIS AZURE 4.2: CustomerID: CIS AZURE 4.2 PROPIEDAD: CLIENTE

namename
(Portal de Azure) (Portal de Azure)
DescripciónDescripción Efecto (s) efecto (s) Versiónverendion
(GitHub) (GitHub) (GitHub) )
Los parámetros de auditoría de SQL deben tener grupos de acciones configuradas para La configuración de la auditoría de las actividades críticas de captura debe tener grupos de acción configurados para capturar las actividades críticas La propiedad AuditandsandGroups debe contener al menos conocida CCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantizar la plena tala de auditThe AuditActionsAndGroups deberes de propiedad contener al menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP de asegurar un registro de auditoría a fondo AuditIfNotExists, DésactivéAuditIfNotExists, discapacitados 1.0.01.0 .0

Verifique que el período de retención de auditoría sea mayor de 90 días que ‘ La auditoría ‘retención es’ mayor a 90 días ‘

ID: CIS AZURE 4.3: CustomerID: CIS Azure 4.3 Propiedad: Cliente

namename
(portal Azure)
DescripciónDescripción efecto (s) Versionverendion
Los servidores SQL deben configurarse con un período de retención de auditoría de 90 días a partir de 90 días Los servidores deben configurarse con 90 días de auditoría de auditoría Rense más alto los servidores SQL deben configurarse con un período de Retención de auditoría de al menos 90 días. Los servidores .sql deben configurarse con una retención de auditoría de 90 días o más. auditifnotExists, DésactivéAauditifNotExists, deshabilitado 2.0.12.0.1

Vérifier Que L’Opción» Seguridad avanzada de datos «Sur Un Serveur SQL Server Est Définie Sur» ON «, asegúrese de que ‘Advanced Data Security’ en un servidor SQL esté configurado en ‘On’

ID: Propriété Cis Azure 4.4: CustomerID: CIS Azure 4.4 Propiedad: Cliente

Name
(Portail Azure) (portal de Azure)
DescripciónDescripción effet (s) efecto (s) VersionVersion
( Github) (github)
seguridad avanzada de datos DOIT être activé sur SQL administró la seguridad de los datos de InstanceAdvanced, se habilitará en la instancia administrada por SQL la instancia de Auditez Chaque, Managée SQL Sans Advanced Data Security.Audit cada instancia administrada SQL sin seguridad de datos avanzada. AuditifnoteExists, DésactivéAauditifNotExists, deshabilitado 1.0.11.0.1
DATA DE DATOS AVANZADOS DOIT êTRE ACTIVÉ SUR VOS SERVICIOS DE DATOS SAVADORIOS debe habilitarse en sus servidores SQL auditer les servires SQL SANS Avanzado Data SecurityAudit SecurityAudit SQL Servers sin seguridad de datos avanzada auditifnotexists, DésactivéAauditifNotExists, deshabilitado 2.0.02.0 .0

Vérifier Que L’Administrateur Azure Active Directory Est configuréensura que Azure activa Directory Admin está configurado

ID: Propriété Cis Azure 4.8: CustomerID: CIS Azure 4.8 Propiedad: Cliente

Name
(Portail Azure) (Portal de Azure)
DescripciónDescripción effet (s) efecto (s) VILLSIERVERSION
(GITHB) (GITHB)
Unión AdministratEur Azure Active Directory Doit être ApprIstionné Pour Les Sevirts SQLAN Azure Active Directory Administrador debe aprovisionarse para servidores SQL AUDISTER L’ApprOvisionNement D’OND Administrateur Azure Active Directory Pour Votre Serveur SQL Afin D’Activer L’AUTENTIFICACIÓN Azure Ad.Audit aprovisionamiento de un administrador de Azure Active Directory para su servidor SQL para habilitar la autenticación Azure AD. L’autentificación Azure AD PERMET UNE GESTION SIMPLIFIEE DES AUTORISIONES ET UNE GESTION EL PODERISEE DES UTILISATEURRES DE BASES DE DONNÉES ET D’AUTRES SERVICIOS Microsoftazure AD Autenticación Permite la gestión de permisos simplificados y la gestión de identidad centralizada de los usuarios de la base de datos y otros servicios de Microsoft AuditifnoteExists, DésactivéAauditifNotExists, deshabilitado 1.0.01.0.0

Vérifiez Que l’Opción «Chiffrement des Données» est Définie Sur «en» Sur une base de données sqlensure que ‘cifrado de datos’ se establece en ‘on’ en una base de datos SQL

ID: propriété CIS AZURE 4.9: CustomerID: CIS AZURE 4.9 PROPIEDAD: CLIENTE

name
(Portail Azure) (Portal de Azure)
DescripciónDescripción effet (s) efecto (s) VersionVersion
(GitHub) (GitHub)
Datos transparentes Encryption Sur Les Bases de Données SQL Doit être Activétransparent Datos Cifrado en las bases de datos SQL Se deben habilitar lekffrement transparent des données Doit être activé pour proténger Les Données Au Repos Et respetador Les Condiciones de conformité Requisestransparent Datos El cifrado debe estar habilitado para proteger los requisitos de datos en reposo y cumplir con los requisitos de cumplimiento auditifnotexists, DésactivéAauditifNotExists, deshabilitado 1.0.01.0. 0

vérifier que lE protegeur tde du sarveur sql est chiffré avec byok (trae Su propia clave) Asegúrese de que el protector TDE de SQL Server esté cifrado con BYOK (use su propia llave)

ID: propriété cis Azure 4.10: CustomerID: CIS AZURE 4.10 Propiedad: Cliente

name
(Portail Azure) (Portal de Azure)
DescripciónDescripción effet (s) efecto (s) VersionVersion
(GitHub) (GitHub)
les · Managées SQL Doivent Utiliser des Clés Gérées Par Le Cliente Pour Chiffrer Les Données AU Repossql Las instancias administradas deben usar las claves administradas por el cliente para cifrar datos en el resto l’impermentation de tde (cifrado de datos transparentes) AVEC VOTRE PROPRE CLÉ Vous Offre Les Avantages Suivants: Transparence Et Contrôle Améliorés sur Le ProtectEur TDE, Sécurité Renforcée AVEC Un servicio Externe HSM ET Promoción de la Séparation des Tâches.La implementación del cifrado de datos transparente (TDE) con su propia clave le proporciona un mayor transparencia y control sobre el protector TDE, mayor seguridad con un servicio externo respaldado por HSM y la promoción de la separación de cuotas. Esta recomendación se aplica a las organizaciones con requisitos de cumplimiento asociados. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relativo. auditifnotexistsists, deshabáudeizados, deshabilitado 1.0.21.0.2
Los servidores SQL deben usar las teclas administradas por el cliente para encriptar el Los datos a la serie REST deben usar las teclas administradas por el cliente para cifrar datos en reposo la implementación de TDE (cifrado de datos transparentes) con su propia clave le ofrece los siguientes beneficios: transparencia y control mejorado en el protector TDE, Seguridad mejorada con el servicio de HSM externo y la promoción de la separación de tareas. Implementando el cifrado de datos transparentes (TDE) con sus propias llaves, se incrementan la transparencia y el control sobre el protector TDE, mayor seguridad con un servicio externo con respaldo de HSM y la promoción de la separación de cuotas. Esta recomendación se aplica a las organizaciones con requisitos de cumplimiento asociados. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relativo. \ «>

Verifique que la opción» Aplicar conexión SSL «esté configurada en» Habilitado «para la conexión del servidor de bases de datos SSL de MySQLENSURE» se establece en ‘Habilitado’ para el servidor de base de datos MYSQL

ID: CISTOMERID propiedad 4.11: CustomerID: CIS AZURE 4.11 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) Efecto (s) efecto (s) Versicorendion
(GitHub) ( Github)
La aplicación de la conexión SSL debe estar habilitada para Los servidores de bases de datos SSL de MySQLENFORCE deben estar habilitados para los servidores de base de datos MySQL la base de datos de Azure para MySQL admite la conexión de su servidor Azure Base de datos para MySQL con aplicaciones de clientes utilizando la base de datos Secure Sockets Layer (SSL) .Zure para MySQL que conecta su base de datos Azure para MySQL Server a CLIENTE utilizando la capa Secure Sockets (SSL). La aplicación de las conexiones SSL entre el servidor de base de datos y las aplicaciones de su cliente lo protege contra los «ataques del interceptor» al encriptar el flujo de datos entre el servidor y su aplicación. Aplicación. Conexiones SSL entre su servidor de base de datos y sus aplicaciones de cliente ayuda a proteger contra ‘ Hombre en el medio ‘ataques al encriptar el flujo de datos entre el servidor y su aplicación. Esta configuración garantiza que el protocolo SSL siempre esté habilitado para acceder a su servidor de base de datos. Esta configuración hace cumplir la configuración que SSL siempre está habilitada para acceder a su servidor de base de datos. auditoría, deshabilitado, deshabilitado 1.0.11.0.1

Verifique que la configuración del servidor» log_checkpoints «se configura en» ON «para el parámetro del servidor Postgresire ‘Log_Checkpoints’ PostgreSQlensure Server ‘se establece en’ ON ‘para el servidor de base de datos PostgreSQL

ID: CIS AZURE 4.12: CustomerID: CIS AZURE 4.12 Propiedad: Cliente

namename
(Portal de Azure) (Portal de Azure)
DescripciónDescripción Efecto (s) efecto (s) Versicorendion
(GitHub) (GitHub)
Los puntos de control de registro deben estar habilitados para los servidores de bases de datos de PostgreSQLLLG Para los servidores de base de datos PostgreSQL Esta política le permite auditar todas las bases de datos PostgreSQL en su entorno NT sin activar el log_checkpoints.Este política ayuda a la auditoría de las bases de datos PostgreSQL en su entorno sin la configuración de Log_CheckPoints habilitada. auditifnotexistsistsistes, deshabilitifnotexistsists, deshabilitado 1.0.01.0.0

Verifique que la opción» Aplicar conexión SSL «esté configurada en» Habilitado «para la Postgresure» Enforce SSL Database Server Connection ‘se establece en’ Habilitado ‘para el servidor de base de datos PostgreSQL

ID: CISS PROPIEDAD AZURE 4.13: CustomerID: CIS AZURE 4.13 Propiedad: cliente

namename
(Portal de Azure) (Portal de Azure)
Descripción Descripción Efecto (s) efecto (s) Versicorendion
La aplicación de la conexión SSL debe estar habilitada para la conexión PostgreSQLENFORCE SSL debe ser servidores de base de datos habilitados para servidores de base de datos PostgreSQL Azure La base de datos para PostgreSQL admite la conexión de su servidor de base de datos Azure para PostgreSQL a las aplicaciones de clientes a través de la base de datos SSL (Capa Secure Sockets Layer) .Azure para los soportes de PostgreSQL que conectan su base de datos Azure para el servidor PostgreSQL a las aplicaciones de los clientes (SSL). La aplicación de las conexiones SSL entre el servidor de base de datos y las aplicaciones de su cliente lo protege contra los «ataques del interceptor» al encriptar el flujo de datos entre el servidor y su aplicación. Aplicación. Conexiones SSL entre su servidor de base de datos y sus aplicaciones de cliente ayuda a proteger contra ‘ Hombre en el medio ‘ataques al encriptar el flujo de datos entre el servidor y su aplicación. Esta configuración garantiza que el protocolo SSL siempre esté habilitado para acceder a su servidor de base de datos. Esta configuración hace cumplir la configuración que SSL siempre está habilitada para acceder a su servidor de base de datos. auditoría, deshabilitado, deshabilitado 1.0.11.0.1

Verifique que la configuración del servidor» log_connectections «se configura en» ON «para el parámetro de Postgresire Server ‘Log_Connections’ PostgreSQLENSURE Server establecido en ‘ON’ para el servidor de base de datos PostgreSQL

ID : CIS AZURE 4.14: CustomerID: CIS AZURE 4.14 Propiedad: Cliente

namename
(Portal de Azure) (portal Azure)
DescripciónDescripción Efecto (s) efecto (s) Versicorendion
(GitHub) (GitHB)
Las conexiones de registro deben activarse para las conexiones de los servidores de base de datos de PostgreSQLLOG deben habilitarse para PostgreSQL Servidores de base de datos Esta política permite auditar todas las bases de datos PostgreSQL de su entorno sin Habilite los log_connections. Esta política ayuda a la auditoría de los parámetros cualquier base de datos PostgreSQL en su entorno sin la configuración de log_connections habilitada. auditifnotexistsistsistes, deshabilitifnotexistsists, deshabilitado 1.0.01.0.0

Verifique que la configuración del servidor «log_disconnectections» se configura en «ON» para el parámetro de Postgresire Server ‘Log_Disconnections’ PostgreSQLEnsure Server establecido en ‘ON’ para el servidor de base de datos PostgreSQL

ID : CIS AZURE 4.15: CustomerID: CIS AZURE 4.15 Propiedad: Cliente

namename
(Portal de Azure) (portal Azure)
DescripciónDescripción Efecto (s) efecto (s) Versicorendion
(GitHub) (GitHB)
Las desconexiones deben registrarse para PostgreSQL.Disconnections Los servidores de la base de datos deben registrarse para la base de datos PostgreSQL Servidores. Esta política permite auditar todas las bases de datos P postsmpresql OTRE Medio ambiente sin activar las log_disconnectections. Esta política ayuda a la auditoría de las bases de datos de PostgreSQL en su entorno sin los log_disconnections habilitados. auditifnotexistsistsistes, deshabilitifnotexistsists, deshabilitado 1.0.01.0.0

Verifique que la configuración del servidor» Connection_throttling «esté configurada en» ON «para el parámetro del servidor Postgresire ‘Connection_throttling’ Database Server se establece en ‘ON’ para el servidor de base de datos PostgreSQL

ID: CIS AZURE 4.17: CustomerID: CIS AZURE 4.17 Propiedad: Cliente

namename
(Portal de Azure) (Portal Azure)
DESCRIPCIÓN DESCRIPCIÓN (S) Efecto (s) Efecto (s) Efecto (S) Versicorendion
(GitHub) (GitHub)
La limitación de la conexión debe estar activada para PostgreSQLConnection Base de datos Los servidores de la base de datos deben estar habilitados para Servidores de base de datos PostgreSQL Esta estrategia ayuda a la auditoría de todas las bases de datos postales Gresql de su entorno sin activar la limitación de la conexión. Esta política ayuda a la auditoría de las bases de datos PostgreSQL en su entorno sin la aceleración de la conexión habilitada.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *