Integrated Initiative Detalles CIS REGULATORIA COMPLEMENTO Microsoft Azure Foundations Bench MarkDails do CIS Microsoft Azure Foundations Benchmark Regulatory Compliance integrado

  • 02/09/2021
  • 33 minutos de lectura
    • d
    • o

    O seguinte artigo explica en detalle como a definición da Política Azure de cumprimento regulamentaria integrada está mapeada a áreas de cumprimento e controis en CIS Microsoft Azure Foundations Benchmark.The a seguir Detalles do artigo Como o cumprimento da política regulamentaria de Azure Inclinación de definición para o cumprimento dos dominios e controis en CIS Microsoft Azure Foundations Benchmark.Para máis información sobre este estándar de cumprimento, consulte CIS Microsoft Azure Foundations Benchmark.Para máis información sobre este estándar de cumprimento, ver CIS Fundacións de Microsoft Azure Benchmark. Para comprender a propiedade, consulte configurar a estratexia de política Azure e a responsabilidade compartida na nube. Para comprender a propiedade, consulte Azure Policy Policy Definición e a responsabilidade compartida na nube

    As seguintes conexións están relacionadas con Microsoft CIS Controls Azure Fundacións Benchmark.The Os seguintes mappings son os CIS Microsoft Azure Foundations Contacts Benchmark. Utiliza o panel de navegación adecuada para acceder directamente a un campo específico de conformidade. Utiliza a navegación á dereita para saltar directamente a un dominio de cumprimento específico. Moitos controis están implementados coa definición dunha iniciativa Azure Policy.Many dos controis implementáronse cunha iniciativa de definición de política de Azure. Para revisar a definición de iniciativa completa, a estratexia aberta no portal de Azure e seleccione as definicións. Para revisar a iniciativa de definición completa, a política aberta no portal Azure e seleccione a páxina.Suite, busca e seleccione a definición da iniciativa reguladora integrada CIS Microsoft Fundacións Azure Benchmark 1.1.0.Then, atopar e seleccionar a CEI Microsoft Azure Foundations Benchmark 1.1.0 Complemento regulatorio Iniciativa de definición integrada.

    Esta iniciativa integrada está implantada no marco do exemplo do Blueprint CIS Fundacións de Microsoft Azure Benchmark. Esta iniciativa incorporada está desplegada como parte da mostra de Blueprint de Microsoft Azurt Azure Azure.

    Importante

    Cada control de abaixo está asociado a un ou máis Azure Policy.Aach O control de abaixo está asociado a unha ou máis definicións de política de Azure. Estas estratexias poden axudarche a avaliar a AV conformidade Control de CE; Non obstante, non hai unha correspondencia única a unha ou perfecta entre o control e unha ou máis estratexias. Estas políticas poden axudarche a avaliar o cumprimento do control; Non obstante, a miúdo non é un xogo completo de ouro un a un entre un control e unha ou máis policías. Así, o cumprimento da política de Azure só se refire ás definicións de estratexia; Isto non garante que estea totalmente compatible con todos os requisitos dun control. Así, compatible coa política de Azure reverte só ás definicións de política; Isto non asegura que estea totalmente compatible con todos os requisitos dun control. Ademais, o estándar de cumprimento inclúe controis que non son procesados por ningunha definición de política de Azure para o momento. Ademais, o estándar de cumprimento inclúe controis que non están abordados por ningunha definición de políticas de Azure neste momento. Polo tanto, o cumprimento da política de Azure é só unha visión parcial do Global. Polo tanto, o Estado de cumprimento, o cumprimento da política de Azure é só a vista parcial do seu estado de cumprimento total. As asociacións entre os campos de conformidade, os controis e definicións Azure Política para este estándar de cumprimento pode cambiar ao longo do tempo. As asociacións entre dominios, controis e as definicións de política de Azure para este estándar de cumprimento poden cambiar ao longo do tempo. Para ver o historial de cambios, consulte o historial do github. Para ver o historial de cambios, consulte o historial de GitHub.

    Identidade e acceso e adhesión. Xestión de acceso

    Comprobar que a autenticación multifactorial está habilitada para todos os usuarios privilexiados que a autenticación multi-factor está habilitada para todos os usuarios privilexiados

    ID: CISS Property Azure 1.1: customerido: CIS Azure 1.1 Propiedade: Cliente

    Namename
    (Portal Azure) (Portal Azure)
    Descrición Descrición effect (s) efecto (s) versionverendion
    A autenticación multifactorial debe ser activada nas contas con permisos de escritura na súa subscriciónMFA debe habilitar contas con permisos de escritura na súa subscrición MFA (autenticación multi-factor) debe estar habilitada para todas as contas de subscrición con privilexios de acceso de escritura para evitar unha violación de contas ou recursos. A autenticación de factor de factor (MFA) debería estar habilitada para todas as contas de subscrición con privilexios de escritura para evitar unha violación de Recursos de ouro de contas. Auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 3.0.03.0.0
    autenticación multifactorial (MFA) debe activarse en contas con propietario As autorizacións da súa subscriciónMFA deben estar habilitadas en contas con permisos propietarios na súa sinatura MFA (autenticación multi-factor) deben estar habilitadas para todas as contas da suscripción con autorizacións propietario para evitar unha violación de contas ou recursos A autenticación .multi-factor (MFA) debe estar habilitado para todas as contas de subscrición con permisos propietarios para evitar unha violación de recursos de ouro de contas. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 3.0.03.0.0

    Asegúrese de que a identificación multifator está activado para todos os usuarios non privilexiados que a identificación multifator está activado para todos os usuarios non privilexiados

    ID: CIS Azure 1.2 propiedade: CUSTOMERID: CIS Azure 1.2 Propiedade: cliente

    Namename
    (Azure PorTaL) (Azure Portal)
    Descrición Descrición efecto efecto (s) versionVerendion
    (GitHub)
    A autenticación multifactorial (MFA) debe activarse nas contas con autorizacións de lectura sobre a súa subscriciónMFA debe estar habilitada en contas lidas permisos na súa sinatura MFA (autenticación multi-factor) debe ser activada para todos os COS Sinatura con lectura privilexios para evitar unha violación de contas ou de identificación de factor resources.multi (AMF) deberá ser activada para todas as contas de subscrición con privilexios de lectura para evitar a violación de contas de recursos ouro. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 3.0.03.0.0

    ID: cistomeid propiedade 1.3: customerid: cis azure 1.3 propiedade: cliente

    Namename
    (Portal Azure) (Azure Portal)
    Descrición Descrición efecto efecto (s) versionverendion
    Contas externas con permisos propietarios deben ser eliminados das súas contas de subscrición con permisos de propietario debe eliminarse da súa subscrición Contas externas con permisos de tipo propietario deben eliminarse da súa subscrición a Evitar as contas de acceso sen control co permiso do propietario S debe ser eliminado da súa subscrición para evitar o acceso sen control. auditifenotexistas, auditores con discapacidade, discapacitados 3.0.03.0.0.
    Contas externas con permisos de reprodución deben ser eliminados do seu As contas de subscriciónExternal con permisos de lectura deben eliminarse da súa sinatura As contas externas con privilexios de acceso á lectura deben eliminarse da súa subscrición para evitar que se elimine as contas de acceso sen control. Acceso non monitorizado. auditifenotexistas, desactualizadosuditifnotexistas, discapacitados 3.0.03.0.0
    Contas externas con permisos de escritura deben ser eliminados das súas contas de subscrición Con permisos de escritura deben ser eliminados da súa subscrición Contas externas con privilexios de acceso de escritura deben eliminarse da súa subscrición para evitar o acceso incontrolado.As contas externas con privilexios de escritura deben ser eliminados da súa suscripción para evitar o acceso sen monitorización. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 3.0.03.0.0

    Comprobe que non se crea ningún rol de propietario de subscrición personalizado que non se creen ningún roles de subscrición personalizado

    ID: CistomeID Propiedade 1.23: CustomerId: CIS Azure 1.23 Propiedade: Cliente

    Namename
    (Portal Azure) (Portal Azure)
    Descrición Descrición efecto (s) efecto (s) versionverendion
    Roles de propietarios de subscrición personalizados non deberían existir roles propietarios de subscrición que non debería existir Esta estratexia asegura que non hai ningún papel como propietario da subscrición personalizada. Esta política essores que Non existen roles propietarios de subscrición personalizados. auditoría, desactualización, discapacitados 2.0.02.0.0

    Centro de seguridade do centro de seguridade

    Comprobe que o nivel de tarifa estándar está seleccionado que o nivel de prezos estándar está seleccionado

    ID: propiedade CIS Azure 2.1: CustomerID: CIS Azure 2.1 Propiedade: cliente

    Namename
    (Portal Azure) (Portal Azure )
    Descrición Descrición effect (s) efecto versionverendion
    O nivel de tarifa de seguridade estándar do centro de seguridade debe ser seleccionado o nivel de prezos estándar estándar O nivel de tarifa estándar permite a Detección de ameazas en redes e máquinas virtuais, proporcionando funcións de intelixencia sobre ameazas, detección de anomalías e analítica E de comportamento en Azure Centros de seguridade Centros estándar Tier permite a detección de ameazas para redes e máquinas virtuais, proporcionando intelixencia de ameaza, detección de anomalía e análise de comportamento no centro de seguridade Azure Auditoría, Disableaudit, Discapacidade 1.0.01.0.0.0

    Comprobe que a opción “aprovisionamento automático de O axente de supervisión “está configurado para” en “asegúrese de que a” provisión automática do axente de monitorización “estea configurada como ‘en’

    ID: CISS Property Azure 2.2: CustomerId: CIS Azure 2.2 Propiedade: Cliente

    Namename
    (Portal Azure) (Portal Azure)
    Descrición Descrición efecto (s) efecto versionverendion
    A provisión automática do axente de análise de rexistro debe ser activado no seu A provisión de abonnementato do axente de rexistro de Rexistro debe estar habilitada na súa subscrición para supervisar as ameazas e as vulnerabilidades de seguridade, o Centro de seguridade de Azure recoller datos da súa Azure.to Monitor para as vuladores de seguridade Vulnerability Virtual e as ameazas, Azure Security Center recolle Datos das máquinas virtuais Azure. Os datos son recollidos polo axente de Analytics de rexistro, anteriormente chamado Microsoft Monitoring Axente (MMA). Este axente le hai varios rexistros de eventos e configuracións relacionadas coa seguridade da máquina e, a continuación, copie os datos do seu espazo de traballo de análise de rexistro para fins de análise. Data é recollida polo axente de análise de rexistro, coñecido como o axente de monitorización de Microsoft (MMA), que le Various relacionadas coa seguridade opcións e rexistros de eventos da máquina e copia os datos para o seu rexistro Analytics Workspace para análise. Recomendamos que active o subministro automático para implantar automaticamente o axente en todas as máquinas virtuais de Azure soportadas e en todos aqueles que se crean. Recomendamos que permita a provisión automática a desplegar automaticamente o axente a todos os Azure Azured VM e os novos que sexan creados. auditifenotexistas, discapacitadosuditifotexistas, discapacitados 1.0.11.0.1

    Comprobe que a configuración de política de CSA predeterminada” Monitorizar as actualizacións do sistema “non está definida como” Disabled “garantir a configuración de política predeterminada de ASC” Monitorización de actualizacións do sistema “non está” desactivada “

    ID: CIS Azure 2.3: CustomerID: CIS Azure 2.3 Propiedade: cliente

    Namename
    (Portal Azure) (Portal Azure)
    Descrición Descrición effect (s) efecto (s) versionverendion
    Actualizacións do sistema Debe instalarse nas súas actualizacións de máquinas que se deben instalar nas súas máquinas Actualizacións do sistema de seguridade que falta nos seus servidores Sexa supervisado por Azure Security Center como as actualizacións do sistema de seguridade dos seus servidores serán monitores por Azure Security Center como recomendacións Auditifenotexistas, discapacitadosAuditifotexistas, discapacitados 3.0.03.0.0. >

    Comprobe que a configuración de políticas de AGC predeterminada “Monitor de vulnerabilidades do sistema operativo” non está definida como ” Disabled “asegúrese E ASC Configuración de Política predeterminada “Monitor OS Vulnerabilities” non está “Disabled”

    ID: CIST Property Azure 2.4: CustomerId: CIS Azure 2.4 Propiedade: Cliente

    Namename (Portal Azure) (Portal Azure) Descrición Descrición efecto (s) Efecto (s) versionion
    As vulnerabilidades na configuración de seguridade das máquinas deben ser corrixidas ás máquinas de traballo que deben ser corrixidas nas súas máquinas non deben cumprir os servidores que non respecten a base da referencia configurada será supervisada por Azure Security Center como recomendacións que non satisfai a liña de base configurada Será monitorizado por Azure Security Center como recomendacións Auditifenotexistas, discapacitadosuditifenotexistas, discapacitados 3.0.03.0 .0

    Comprobe que a configuración predeterminada de política predeterminada de UCA” Protección predeterminada “non está definida como” Disabled “garantir a configuración de política predeterminada de ASC” Monitorizar Protección de punto final “Non está” desactivado “

    ID: CISS Property Azure 2.5: customerid: CIS Azure 2.5 Propiedade: Cliente

    Namename
    (Portal Azure) (Portal Azure)
    Descrición Descrición effect efecto (s) versionverendion
    Supervisar os axentes de protección final no centronitor de seguridade Azure Protección endpoint en Azure Security Center Servidores sen axente de protección endpoint instalado será supervisado por Azure Security Center como recomendacións Servidor sen un axente de protección final instalado será monitorizado por Azure Security C Introduza como recomendacións Auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 3.0.03.0.0.0

Comprobar que a configuración de política de CSA predeterminada “Monitor de cifrado de disco” non está definida como “Disabled” Asegúrese de que a configuración de política predeterminada de ASC “Monitor Disk Encryption” non está “desactivada”

ID: CISS Property Azure 2.6: CustomerId: CIS Azure 2.6 Propiedade: Cliente

NAMENAME (portal azur (portal azur) Descrición Descrición effect (s) efecto (s) versionverendion
O cifrado de disco debe ser aplicado ao cifrado virtual MachinSDISK debe ser aplicado en máquinas virtuales Máquinas virtuais sen cifrado de disco activado será supervisado por Azure Securit Alí como recomendacións. Virtuales sen un cifrado de disco habilitado será monitorizado por Azure Security Center como se recomenda. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 2.0.0.02.0.0

Comprobe que o parámetro de política predeterminada ASC” Supervisar os grupos de seguridade da rede “non está definido como” discapacitado “garantir a configuración de política predeterminada de ASC” Monitor GRUPOS DE SEGURIDADE NONDA “non está” discapacitado “

ID: CIS Azure 2.7: CustomerID: CIS Azure 2.7 Propiedade: cliente

Namename
(Portal Azure) (Portal Azure)
Descrición Descrición effect (s) efecto (s) versionverendion
As recomendacións de reforzo de rede adaptativa que deben ser aplicadas a máquinas virtuais accesibles a partir de internet adaptación que as recomendacións de endurecemento de rede deben ser aplicadas en internet que se enfronta ás máquinas virtuais Azure Security Center analiza as tendencias de tráfico de máquinas virtuais accesibles en Internet e proporciona recomendacións sobre as regras de grupo de seguridade de rede para usar para reducir a superficie do Centro de Seguridade Potenciatura de Ataque Analiza os patróns de tráfico de Internet que enfrontan as máquinas virtuais Recomendacións que reducen a superficie de ataque potencial auditivo Notexists, discapacitadosuditifnotexists, discapacitados 3.0.03.0.0

ID: CIS Azure 2.9: CustomerId: CIS Azure 2.9 Propiedade: Cliente

Namename
(Azure Portal) (Portal Azure)
Descrición Descrición effect (s) efecto (s) versionverendion
(github) (Github)
As máquinas virtuais accesibles desde Internet deben estar protexidos con máquinas virtuais de Grupos de seguridade de rede, deberían estar protexidos con grupos de seguridade de rede Protexer as súas máquinas virtuais contra as posibles ameazas limitando o seu acceso con grupos de seguridade de rede (NSG). Protección das súas máquinas virtuais de posibles ameazas restrinxindo Acceso a eles con grupos de seguridade de rede (NSG). Para obter máis información sobre o control de tráfico con grupos de seguridade de rede, consulte https://aka.ms/nsg-doc.Learn máis sobre controlar o tráfico con NSGS en Auditifenotexistas, auditores con discapacidade, discapacitados
Os subredes deben asociarse a un grupo de seconidade que os reseasubnets deben estar asociados a un grupo de seguridade de rede Protexa a súa subred contra as posibles ameazas limitando o acceso cun grupo de seguridade de rede (NSG). Protección da súa subreter a partir de posibles ameazas ao restrinxir o acceso a un grupo de seguridade de rede (NSG). NSGS conteñen unha lista de regras de lista de control de acceso (LCD) que permiten ou rexeitan o tráfico da rede á súa subnet.nsgs conteñen unha lista de regras de control de acceso (ACL) que permiten que o ouro denee o tráfico de rede á súa subred. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 3.0.03.0.0

Comprobar que a configuración de políticas de AGC predeterminada” Supervisar a valoración das vulnerabilidades “non está definida como” desactivada “garantir a configuración de política predeterminada de ASC” Monitor de avaliación de vulnerabilidade “non está” discapacitado “

ID: CIS Azure 2.10: CustomerId: CIS Azure 2.10 Propiedade: Cliente

Namename
(Portal Azure) (Portal Azure)
Descrición Descrición Efecto (s) efecto versionverendion
Unha avaliación de vulnerabilidade de solución debe estar na súa solución de avaliación de vulnerabilidade virtual que debe ser a súa máquina virtual Auditoría de máquinas virtuais para detectar se excitan Use unha solución de avaliación de vulnerabilidade. Auditorías virtuais para detectar a solución de avaliación de vulnerabilidade admitida. A identificación e análise de vulnerabilidades constitúen un compoñente fundamental de cada programa de seguridade e avaliación do ciber-risco. Un compoñente básico de cada risco cibernético e programa de seguridade é a identificación e análise de vulnerabilidades. O nivel estándar da tarifa de Azure Security Center inclúe a análise da vulnerabilidade das súas máquinas virtuais sen ningún custo adicional de Cost.Azure. O nivel de prezo estándar inclúe a exploración de vulnerabilidade para as súas máquinas virtuais sen custo adicional. Ademais, o Centro de seguridade pode desplegar esta ferramenta automaticamente para ti. Adicionalmente, o Centro de seguridade pode implementar automaticamente esta ferramenta para ti. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 3.0.03.0.0

Comprobe que a configuración de política predeterminada de CSA “Monitor L ‘JIT Network Access “Non está definido como” discapacitado “Asegúrese de configurar a política predeterminada de ASC” Monitor JIT Network Access “non está” Desactivado “

ID: CistomeID Propiedade 2.12: CustomerID: CIS Azure 2.12 Propiedade: cliente

NAMENAME
(Azure PORTAL) (AZURE PORTAL)
Descrición Descrición effect efecto (s) versionverendion
Os portos de xestión de máquinas virtuais deben estar protexidos por un acceso á rede de acceso a tempo de acceso de máquinas virtuais que deben protexerse con control de acceso á rede O acceso a tempo (JIT) á rede será supervisado por Azure Security Center como RecomendadoPop A rede xusto a tempo (JIT) o acceso será monitorizada por Azure Security Center como recomendacións Auditifnotexistas, discapacitadosuditifnotexistas, discapacitados 3.0.0.03.0.0.0.

ID: propiedade CIS Azure 2.13: customerid: CIS Azure 2.13 Propiedade: cliente

NAMENAME
(Portal Azure) (Azure Portal)
DescriciónDescription efecto (s) efecto (s) versionverendion
Os controis de aplicación adaptativa para configurar as aplicacións seguras deben estar habilitadas nos seus controis de aplicacións adicionais para definir as aplicacións de aplicacións seguras que deben estar habilitadas nas súas máquinas Activar os controis de aplicacións para definir a lista de aplicacións recoñecidas confiables que funcionan nas túas máquinas e avisen cando Use as aplicacións que executan os controis de solicitude de execución para definir a lista de aplicacións seguras coñecidas que se executan nas súas máquinas e avisan cando se executen outras aplicacións. A seguridade das túas máquinas contra o software malicioso está reforzada. Isto axuda a endurecer as túas máquinas contra o malware. Para simplificar o proceso de configuración e mantemento das súas regras, o centro de seguridade utiliza a máquina de aprendizaxe para analizar as aplicacións que se executan en cada máquina e suxiren a lista de aplicacións recoñecidas confiables. Para simplificar o proceso de configuración e manter as súas regras, o Centro de seguridade utiliza a aprendizaxe da máquina Para analizar as aplicacións que se executan en cada máquina e suxiren a lista de aplicacións seguras coñecidas. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 3.0.03.0.0

Comprobe que o parámetro predeterminado ASC” Supervisar o parámetro de auditoría SQL “non está definido como” Desactivado “Asegúrese de que a configuración de política predeterminada de ASC” Monitor de auditoría SQL “non está” desactivada “

ID: CISS Property Azure 2.14: CustomerId: CIS Azure 2.14 Propiedade: Cliente

Namename
(Azure Portal) (Portal Azure)
Descrición Descrición effect (s) efecto (s) versionverendion
(github) ( Github)
A auditoría en SQL Server debe estar activada en SQL O servidor debe estar habilitado A auditoría do seu servidor SQL Server debe estar habilitada para rastrexar as actividades de todas as bases de datos do servidor e gardalas nun rexistro de auditoría. Auditoría no seu SQL Server debe estar habilitado para seguir as actividades da base de datos en todas as bases de datos do servidor e gardalas nun rexistro de auditoría. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 2.0.0.02.0.0

Comprobe que a configuración de política de CSC predeterminada” Monitorizar o cifrado SQL “non está definida como” Desactivado “Asegúrese de que a configuración de política predeterminada de ASC” Monitorizar o cifrado SQL “non está” desactivada “

ID: CIS Azure 2.15: CustomerID: CIS Azure 2.15 Propiedade: cliente

Namename
(Portal Azure) (Portal Azure)
Descrición Descrición effect (s) efecto (s) versionverendion
Cifrado de datos transparente nas bases de datos SQL debe ser activétransparent Data cifrado nas bases de datos SQL debe estar habilitado O cifrado de datos transparente debe ser Activado para protexer os datos de descanso e cumprir os requisitos de complandercestRansparent Data Cryptation debe estar habilitado para protexer os datos-repouso e cumprir os requisitos de cumprimento Auditifenotexistas, desactualizadosuditif, discapacitados 1.0.01.0 .0

Comprobe que a opción “Emails de contacto de seguridade” está configurada para iso ‘Emails de contacto de seguridade’ está configurado

ID: propiedade CIS Azure 2.16: CustomerID: CIS Azure 2.16 Propiedade: Cliente

Namename
(Portal Azure) (Portal Azure)
DescriciónDescription effect (s) efecto versionverendion
(github)
As subscricións deben ter o enderezo de correo electrónico dun contacto para problemas de seguridade que deberían ter un enderezo de correo electrónico de contacto para a seguridade de para informar ás persoas implicadas na súa organización dunha violación de seguridade potencial nunha das súas subscricións, definir un contacto de seguridade que recibirá notificacións por correo electrónico no centro de seguridade. Para asegurar a xente de Landiver na súa organización Notificanse cando hai unha violación de seguridade potencial nunha das súas subscricións, configure un contacto de seguridade para recibir notificacións por correo electrónico do Centro de Seguridade. auditifenotexistas, discapacitadosuditifotexistas, discapacitados 1.0.11.0.1

Comprobar que a opción” Envíe unha notificación por correo electrónico para alertas de gravidade elevada “está definida como” en “asegúrese de que” envíe a notificación por correo electrónico para alertas de alta severidade “está configurada a ‘en’

ID: CISS Property Azure 2.18: CustomerId: CIS Azure 2.18 Propiedade: Cliente

Namename
(Portal Azure) (Portal Azure)
Descrición Descrición efecto (s) efecto versionverendion
Notificación por correo electrónico para altas altas de gravidade deben ser activated. Notificación para alertas de alta gravidade Debe estar habilitado para informar ás persoas implicadas na súa organización dunha violación de seguridade potencial nunha de V Os subscricións de SO, permiten as notificacións por correo electrónico para alertas de alta gravidade no centro de seguridade. No centro de seguridade. auditifenotexistas, discapacitadosuditifotexistas, discapacitados 1.0.11.0.1

Comprobe que a opción” Envíe un correo electrónico aos propietarios de subscrición “está configurado para” Asegúrese de que “Envíe un correo electrónico tamén aos propietarios de subscrición” en ‘On’

ID: CISS Property Azure 2.19: CustomerId: CIS Azure 2.19 Propiedade: Cliente

NAMENAME
(Portal Azure) (Portal Azure)
DescriciónDescription Efecto (s) Efecto (s) versionverendion (GitHub ) (Github)
Notificación por correo electrónico á subscrición O propietario das alertas de alta gravidade debe ser activado. A notificación de mensaxería de subscrición de altas altas de gravidade debe estar habilitada para informar aos propietarios de subscrición dunha violación de seguridade potencial Súa na súa subscrición, activar o envío de notificacións por correo electrónico a estes propietarios para altas alertas de gravidade no centro de seguridade. Para asegurar que os propietarios de subscrición sexan notificados cando hai unha violación de seguridade potencial na súa subscrición, establecer notificacións de correo electrónico aos propietarios de subscrición de alta Alertas de gravidade no centro de seguridade. Auditifenotexistas, discapacitadosuditifotexistas, discapacitados 1.0.11.0.1

Contas de accesos de almacenamento

Comprobar que o ” Transferencia segura requirida “está definida como” Activado “Asegúrese de que a” transferencia segura necesaria “está definida como” habilitada “

ID: cis azure 3.1: customerid: cis Azure 3.1 propiedade: cliente

Namename
(Portal Azure) (Azure Portal)
Descrición Descrición efecto efecto (s) versionverendion
Asegurar a transferencia a contas de almacenamento debe ser activada a transferencia ás contas de almacenamento debe estar habilitada Auditoría L ‘Requisito de transferencia seguro na súa conta de almacenamento. A esixencia de transferencia segura na súa conta de almacenamento .. A opción de seguridade de transferencia require que a súa conta de almacenamento acepte só as consultas das conexións seguras (HTTPS). A transferencia. Ocure é unha opción que obriga á súa conta de almacenamento para aceptar solicitudes só desde conexións seguras (HTTPS). O uso de HTTPS garante a autenticación entre o servidor eo servizo e protexe os datos en tránsito contra os ataques da capa de rede (ataque do interceptor ou “Man-in-the-Middle”, escoitando o secuestro. Sesión) Use De HTTPS ENSORETRACT entre o servidor eo servizo e protexe os datos en tránsito desde ataques de capa de rede, como o home-in-the-media, espectáculos e secuestro de sesións auditoría, rexeitamento, discapacitado, denegar, desactivar 2.0.0.02.0.0

comprobar que ” O nivel de acceso público “está definido como privado para os contedores de obxectos blobensure que” nivel de acceso público “está definido como privado para os contedores blob

ID: CIS Azure 3.6 Propiedade: CustomerId: CIS Azure 3.6 Propiedade: Cliente

Namename
(Portal Azure) (Portal Azure)
Descrición Descrición Efecto (s) efecto (s) versionverendion
O acceso público á conta de almacenamento debe ser a conta de interdretirtage. O acceso público debe ser deshabilitado o acceso a unha lectura pública anónima a contedores e blobs en Azure Storage é unha forma conveniente de compartir datos, pero pode presentar a seguridade RISCO.Anónimo O acceso público de lectura a contedores e blobs en Azure Storage é unha forma conveniente de compartir datos, pero pode presentar riscos de seguridade. Para evitar as infraccións de datos causadas por acceso anónimo non desexado, Microsoft recomenda a prevención do acceso público a unha conta de almacenamento, a menos que o seu escenario o requira. Para evitar que as infraccións de datos teñan acceso anónimo, Microsoft recomenda a prevención do acceso público a unha conta de almacenamento a menos que o seu escenario o requira. auditoría, denegar, desactualizar, negar, discapacitar 2.0.1-preview2.0.1-Vista previa

Comprobe que a regra de acceso á rede predeterminada para as contas de almacenamento está definida na refusorensure. A regra de acceso á rede predeterminada para as contas de almacenamento está definida para denegar

id : CIS Azure Property 3.7: customerido: CIS Azure 3.7 Propiedade: cliente

namename
(Azure Portal) (Portal Azure)
DescriciónDescription Efecto (s) efecto versionverendion
(github) (github)
As contas de almacenamento deben limitar as contas de reseustorage de acceso deberían restrinxir o acceso á rede O acceso á rede ás contas de almacenamento debe estar limitado. O acceso de traballo ás contas de almacenamento debe ser restrinxido. Configure as regras de rede de tal xeito que só as aplicacións de redes autorizadas poden acceder á conta de almacenamento. Configura as regras da rede polo que só as aplicacións de redes permitidas poden acceder á conta de almacenamento. Para permitir conexións específicas de Internet ou clientes locais, o acceso de tráfico pode permitirse a partir de redes virtuais de Azure específicas ou a praias de enderezos de internet pública de Internet. Permitir conexións a partir de instalacións específicas de ouro de Internet, pode concederse ao tráfico a partir de redes virtuais específicas de Azure ou Para os rangos de enderezo IP Público de Internet Auditoría, rexeita, discaedeaudit, negativa, discapacitada 1.1.11.1.1

Comprobe que a opción “Aprobado Microsoft Services” está activada para o ‘ Acceso á conta de almacenamento ‘Confiou Microsoft Services’ está habilitado para o acceso á conta de almacenamento

ID: CistomerID Propiedade 3.8: CustomerId: CIS Azure 3.8 Propiedade: Cliente

Namename Portal Azure) DescriciónDescription effect (s) efecto (s) versionverendion
As contas de almacenamento deben Permitir que o acceso das contas de aprobación de servizos de Microsoft SERVICES debería permitir o acceso de servizos de confianza de Microsoft Algúns servizos de Microsoft que interactúan coas contas de almacenamento que traballan desde redes que non poden obter acceso a través de Regras de rede. Algúns servizos de Microsoft T O sombreiro interactúa con contas de almacenamento que operan desde redes que non se poden conceder acceso a través de regras de rede. Para que este tipo de servizo funcione como planificado, permita que todos os servizos de Microsoft aprobados para ignorar as regras da rede. Para axudar a que este tipo de traballo funcione segundo a intención, permite que o conxunto de servizos de confianza de Microsoft de confianza para ignorar as regras de rede. Estes servizos usan unha autenticación forte para acceder á conta de almacenamento. Estes servizos usarán a autenticación forte para acceder á conta de almacenamento. auditoría, rexeita, desactivada, negativa, discapacidade 1.0.01.0.0.0

Servizos de base de datosDatabase Services

Comprobe que a opción “Auditoría” está configurada como “en” asegurarse de que “Auditoría” estea configurada en ‘On’

ID: CISS Property Azure 4.1: CustomerId: CIS Azure 4.1 Propiedade: Cliente

Namename
(Portal Azure) (Portal Azure)
DescriciónDescription efecto (s) efecto versionverendion

A auditoría en SQL Server debe activarse Debe activar o servidor SQL A auditoría do seu servidor SQL debe estar habilitada para rastrexar as actividades de todas as bases de datos do servidor e gardalos nun rexistro de auditoría. Realizar o seu servidor SQL debe estar habilitado para rastrexar a Lei de bases de datos Ivities en todas as bases de datos do servidor e garda-las nun rexistro de auditoría. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 2.0.0.02.0.0

Comprobe que” AuditandionGroups “na estratexia” Auditoría “para un servidor SQL está definido correctamente que” AuditandGroups “na política de auditarse ‘para un servidor SQL está configurado correctamente

ID: CIS CIS Azure 4.2: CustomerId: CIS Azure 4.2 Propiedade: Cliente

Namename
(Portal Azure) (Portal Azure)
DescriciónDescription effect (s) efecto (s) versionverendion
(GitHub) (GitHub )
Os parámetros de auditoría SQL deben ter grupos de accións configuradas a A configuración de auditoría de actividades críticas de captura pode ter grupos de acción configurados para capturar actividades críticas a propiedade AuditandSandGroups debe conter polo menos coñecido CCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantir o rexistro completo de auditThe AuditActionsAndGroups deberes de propiedade conter polo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantir unha rexistro de auditoría completa AuditIfNotExists, DésactivéAuditIfNotExists, Disabled 1.0.01.0 .0

Comprobe que o período de retención de auditoría é superior a 90 días que ‘ A retención de auditar é ‘superior a 90 días’

ID: CIS Azure 4.3: CustomerId: CIS Azure 4.3 Propiedade: Cliente

Namename
(portal azur)
DescriciónDescription effect efecto (s) Versionverendion
Os servidores SQL deben estar configurados cun prazo de retención de auditoría de 90 días a partir de 90 días que se deben configurar con 90 días de auditoría de ouro máis elevado Os servidores SQL deben estar configurados cun período de A retención de auditoría de polo menos 90 días. Os servidoresQll servidores deben estar configurados con retención de 90 días de auditoría ou superior. Auditifnotexistas, DésactiveraAudItifnotexists, discapacitados 2.0.12.0.1

Vérifier que l’Opción” Seguridade avanzada de datos “Sur Un Servidor SQL Server est Définie sur” On “Asegúrese de que a” seguridade avanzada de datos “nun servidor SQL está configurado para ‘en’

ID: Propriété CIS Azure 4.4: CustomerID: CIS Azure 4.4 Propiedade: Cliente

NomName
(Portail Azure) (Portal Azure)
DescriciónDescription effect (s) efecto (s) versionversion
( Github) (github)
Seguridade avanzada de datos doit être activé sur SQL Managed InstanceAced Security Data debe estar habilitado na instancia xestionada SQL Auditez Chaque Instance Managée SQL Sans Advanced Data Security.Audit cada instancia xestionada SQL sen seguridade de datos avanzada. Auditifnotexistas, délosactiverauditifnotexistas, discapacitados 1.0.11.0.1
Seguridade avanzada de datos doit être activé sur serveurs sqlAdvanced Data Security Debe estar habilitado nos seus servidores SQL Auditer Les Servidurs SQL SANA Datos avanzados SeguroDaudit SQL Servidores sen seguridade de datos avanzados Auditifenotexistas, DésactiveraAudItifnotexistas, discapacitados 2.0.02.0 .0

Vérifier que l’administrateur Azure Active Directory está configuranensure que Azure activa Directorio administrador está configurado

ID: Propriété CIS Azure 4.8: CustomerID: CIS Azure 4.8 Propiedade: Cliente

NOMName
(Portail Azure) (Portal Azure)
DescriciónDescripción effect (s) efecto (s) versionversion
(github) (github)
UN. Administrateur Azure Active Directory Doit être ApprovisionNé Pour Les Sporturs SQLAN Azure Active Director Administrator debe ser provisionado para servidores SQL Auditora L’APROVISIONNEMENT D’UN administrador Azure Active Directory POUR VOTRE SERVEUR SQL AFIN D’Active Azure Ad.Audit Provisioning dun administrador de Active Directory Azure para o seu servidor SQL para activar Azure AD Authentication. L’Authentification Azure AD PERMET UNE Gestion Simplifiée DES Autorisations ET UNE Gestion Centralisée DES Utilisateurs de Bases de Données et d’Autres A autenticación de anuncios de MicrosoftAzure permite a xestión de permiso simplificada e xestión de identidade centralizada de usuarios de bases de datos e outros servizos de Microsoft Auditifenotexists, DésactiveraAudItifnotexists, Discapacitados 1.0.01.0.0

Vérifiez que l’Opción “Chiffrement des Données” Est définie sur “en” Sur Une base de données sqlensure que ‘cifrado de datos’ está configurado para ‘on’ nunha base de datos SQL

ID: propriété CIS Azure 4.9: CustomerID: CIS Azure 4.9 Propiedade: Cliente

nomname
(Portal Azure) (Portal Azure)
DescriciónDescription effect (s) efecto (s) versionversion
(github) (github)
Encriptación de datos transparentes SUR LES BASES DE DONNÉES SQL Doit être Activétransparent Data Cifrado en SQL Bases de datos debe estar habilitado Le Chiffrement Transparent des Données Doit être Activé Despeje Protéger Les Données au repost e Respecters les Condicións de conformidade RequisestRansparent Data Cryptation debe estar habilitado para protexer os datos-at-repouso e cumprir os requisitos de cumprimento Auditifenotexistas, DésactivéAudItifnotexists, discapacidade 1.0.01.0. 0

Vérifier Que le Proteccione TDE du active SQL Est Chiffré Avec BYOK (traer) A súa propia clave) Asegúrese de que o Protector TDE do servidor SQL está cifrado con BYOK (Use a súa propia clave)

ID: Propriété CIS Azure 4.10: CustomerID: CIS Azure 4.10 Propiedade: cliente

NOMNAME
(Portail Azure) (Portal Azure)
DescriciónDescription effect (s) efecto (s) Versionversion
(github) (github)
les instancias Managées SQL Doivent Utiliser des clés gérées par le cliente Pour Chiffrer Les Données Au Repossql Instancias xestionadas deberían utilizar as claves xestionadas polo cliente para cifrar datos en repouso L’Implunication de TDE (Encryption de datos transparente) AVEC VOTRE PROPRE CLÉ Vous offre Les Avantages Suivantes: Transparence et Contrôle Améliorés Sur Le Proteccione TDE, Sécurité renforcée AVEC Un servizo externa HSM ET promoción da Séparation des Tâches.A implantación de cifrado de datos transparente (TDE) coa súa propia clave ofrécelle unha maior transparencia e control sobre o protector TDE, a maior seguridade cun servizo externo respaldado por HSM e promoción da separación das cotas. Esta recomendación aplícase ás organizacións con requisitos de conformidade asociada. Esta recomendación aplicada ás organizacións con requisito de cumprimento relativo. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 1.0.21.0.2
Os servidores SQL deben usar as teclas xestionadas polo cliente para cifrar a Os datos da serie de descanso deberían utilizar as claves xestionadas polo cliente para cifrar datos en repouso a implementación de TDE (cifrado de datos transparente) coa súa propia clave ofrécelle os seguintes beneficios: Transparencia e control mellorado no protector TDE, Seguridade mellorada con servizo HSM externo e promoción da separación de tarefas. Implementar o cifrado de datos transparente (TDE) cos seus propios provides de clave aumentou a transparencia e control sobre o protector TDE, a maior seguridade cun servizo externo respaldado por HSM e promoción da separación das cotas. Esta recomendación aplícase ás organizacións con requisitos de conformidade asociada. Esta recomendación aplicada ás organizacións con requisito de cumprimento relativo. auditifenotexistas, discapacitadosuditifnotexistas, discapacitados 2.0.12.0.1

Comprobe que a opción” Aplicar a conexión SSL “está configurado para” Activado “para a conexión de servidor de base de datos MySQlensure ‘Enforce SSL’ está configurado para ‘habilitado’ para o servidor de base de datos MySQL

ID: Cistomerid Propiedade 4.11: CustomerID: CIS Azure 4.11 Propiedade: cliente

Namename
(Azure Portal) (Portal Azure)
Descrición Descrición effect (s) efecto (s) versionverendion
(github) ( Github)
A aplicación da conexión SSL debe estar habilitada para Os servidores de bases de datos de MySQLenforce SSL deben estar habilitados para os servidores de base de datos MySQL a base de datos AZURE para MySQL soporta a conexión do seu servidor Azure Base de datos para MySQL con aplicacións de clientes usando Secure Sockets Layer (SSL) .zure Database para MySQL conectando a súa base de datos Azure para MySQL Server ao cliente usando a capa Secure Sockets (SSL). A aplicación das conexións SSL entre o servidor de base de datos e as súas aplicacións de clientes protexen contra os “ataques do interceptor” ao cifrar o fluxo de datos entre o servidor e a súa aplicación. Entreexión de conexións SSL entre o servidor de base de datos e as súas aplicacións de clientes axudan a protexer contra ‘ O home dos ataques do medio cifrando o fluxo de datos entre o servidor ea súa aplicación. Esta configuración asegura que o protocolo SSL estea sempre habilitado para o acceso ao seu servidor de base de datos. Esta configuración cumpre que SSL sempre está habilitado para acceder ao seu servidor de base de datos. auditoría, desactivada, discapacitada 1.0.11.0.1

Verificar que a configuración do servidor” LOG_CHECKPOINS “está configurada como” ON “para o parámetro PostgreSire Server ‘Log_CheckPoints’ PostgreSQLensure Server ‘está configurado como’ On ‘para PostgreSQL Database Server

ID: CIS Azure 4.12: CustomerId: CIS Azure 4.12 Propiedade: Cliente

Namename
(Portal Azure) (Portal Azure)
DescriciónDescripción effect (s) efecto versionverendion
(github) (github)
O rexistro de puntos de control debe estar habilitado para servidores de base de datos postgresqllog debe ser activado Para os servidores de base de datos PostgreSQL Esta política permítelle auditar todas as bases de datos PostgreSQL no seu contorno NT sen activar o LOG_CHECKPOINTS.Esta a política axuda a auditar as bases de datos de PostgreSQL no seu contorno sen LOG_CHECKPOINTS que está activado. auditifenotexistas, discapacitadosuditifotexistas, discapacitados 1.0.01.0.0

Comprobe que a opción” Aplicar a conexión SSL “está configurado para” activar “para a postgresure” Enforce SSL Database Servidor Server ‘está configurado para’ habilitado ‘para o servidor de base de datos postgresql

ID: CISS Property Azure 4.13: CustomerId: CIS Azure 4.13 Propiedade: cliente

Namename
(Portal Azure) (Portal Azure)
Descrición Descrición effect (s) efecto (s) versionverendion
A aplicación da conexión SSL debe estar habilitada para a conexión PostgreSQLenforce SSL debe ser servidores de base de datos habilitadas para servidores de base de datos PostgreSQL Azure Base de datos para PostgreSQL admite a conexión do seu servidor de base de datos Azure para PostgreSQL ás aplicacións do cliente a través de SSL (Secure Sockets Layer). A aplicación das conexións SSL entre o servidor de base de datos e as súas aplicacións de clientes protexen contra os “ataques do interceptor” ao cifrar o fluxo de datos entre o servidor e a súa aplicación. Entreexión de conexións SSL entre o servidor de base de datos e as súas aplicacións de clientes axudan a protexer contra ‘ O home dos ataques do medio cifrando o fluxo de datos entre o servidor ea súa aplicación. Esta configuración asegura que o protocolo SSL estea sempre habilitado para o acceso ao seu servidor de base de datos. Esta configuración cumpre que SSL sempre está habilitado para acceder ao seu servidor de base de datos. auditoría, desactivada, discapacitada 1.0.11.0.1

Comprobe que a configuración do servidor de” log_connections “está configurada como” en “para o parámetro PostgreSire Server ‘Log_connections’ PostgreSQLensure Server Set en ‘On’ para PostgreSQL Database Server

ID : CIS Azure 4.14: CustomerId: CIS Azure 4.14 Propiedade: cliente

Namename
(Portal Azure) (Portal Azure)
DescriciónDescription Efecto (s) Efecto versionverendion
(github) (github)
As conexións de rexistro deben ser activadas para que as conexións de servidores de base de datos postgresqllog deben estar habilitadas para PostgreSQL servidores de base de datos Esta política permite auditar todas as bases de datos de PostgreSQL do seu contorno sen Activar a Política Log_connections.This Axuda parámetro Auditoría Calquera bases de datos PostgreSQL no seu ambiente sen xerada por log_connections configuración activada. auditifenotexistas, discapacitadosuditifotexistas, discapacitados 1.0.01.0.0

Comprobar que a configuración do servidor” LOG_DISCONNECS “está configurada como” ON “para o parámetro PostgreSire Server ‘LOG_DISCONNECS’ PostgreSQLensure Server Set en ‘On’ para PostgreSQL Database Server

ID : CIS Azure 4.15: CustomerId: CIS Azure 4.15 Propiedade: Cliente

Namename
(Portal Azure) (Portal Azure) DescriciónDescription Efecto (s) Efecto versionverendion
(github) (github) As desconexións deben estar rexistradas para postgresql.disconnections Os servidores de bases de datos deben estar rexistrados para a base de datos PostgreSQL servidores. Esta política permite auditar todas as bases de datos V PostgreSQL Otre medio sen activar a política LOG_DISCONNECTIONS.THIS axuda Auditoría CALQUERA PostgreSQL no seu ambiente sen log_disconnections habilitado. auditifenotexistas, discapacitadosuditifotexistas, discapacitados 1.0.01.0.0

Verificar que a configuración do servidor” Connection_throttling “está configurada como” en “para o servidor de base de datos de base de datos de PostgreSire Server ‘en’ On ‘para o servidor de base de datos PostgreSQL

ID: CIS Azure 4.17: CustomerId: CIS Azure 4.17 Propiedade: Cliente

Namename
(Azure Portal) (Portal Azure)
DescriciónDescription Efecto (s) efecto versionverendion
(github) (github)
A limitación de conexión debe ser activada para PostgreSQLConnection Database Servidores Throttling debe estar habilitado para Servidores de base de datos PostgreSQL Esta estratexia axuda a auditar todas as bases de datos Post Gresql do seu contorno sen activar a limitación de conexión. Esta política axuda a auditar as bases de datos de PostgreSQL no seu contorno sen a conexión a aceleración habilitada.

Deixa unha resposta

O teu enderezo electrónico non se publicará Os campos obrigatorios están marcados con *