Iniciativa Integrada Detalhes Integrados CIS Conformidade Regulatória Microsoft Azure Foundations BenchmarkDitails do CIS Microsoft Azure Foundations Benchmark Compliance regulatória integrado

  • 02/09/2021
  • 33 minutos de leitura
    • d
    • O

O seguinte artigo explica em detalhes como a definição da política regulatória integrada do Azure é mapeada para áreas de conformidade e controles no Benchmark do CIS Microsoft Azure. Detalhes do artigo Como o Azure Policy Regulatory Builliance Definição Mapas para domínios de conformidade e controles no CIS Microsoft Azure Foundations Benchmark.Para mais informações sobre este padrão de conformidade, consulte o CIS Microsoft Azure Foundations Benchmark.Para mais informações sobre este padrão de conformidade, consulte CIS Fundações do Microsoft Azure Benchmark. Para entender a propriedade, consulte a configuração da estratégia da política do Azure e da responsabilidade compartilhada na nuvem. Compreender a propriedade, consulte a definição da política de política do Azure e a responsabilidade compartilhada na nuvem

As conexões a seguir estão relacionadas com o Microsoft CIS Controles Azure Benchmark de fundações. Os mapeamentos a seguir são para os controles de referência do CIS Microsoft Azure Foundations. Use o painel de navegação certo para acessar diretamente um campo específico de conformidade. Use a navegação à direita para pular diretamente para um domínio de conformidade específico. Muitos controles são implementados com a definição de uma Iniciativa Azure Policy.Mony of the Controls é implementado com uma iniciativa de definição de políticas do Azure. Para revisar a definição de iniciativa completa, a estratégia aberta no Portal do Azure e selecione as definições.Para revisar a iniciativa de definição completa, apólice aberta no portal do Azure e selecione a página.Suite, pesquise e selecione a definição da Iniciativa Regulamentária Integrada CIS Microsoft Benchmark do Azure Foundations 1.1.0.Then, localizar e selecionar o CIS Microsoft Azure Foundations Benchmark 1.1.0 Iniciativa de definição integrada de conformidade regulamentar.

Esta iniciativa integrada é implantada na estrutura do exemplo do cis do blueprint Microsoft Azure Foundations Benchmark.Esta iniciativa incorporada é implantada como parte da amostra de blueprint de benchmark da Microsoft Azure Foundations.

IMPORTANTE

Cada controle abaixo está associado a um ou mais Política do Azure. Controle abaixo está associado a uma ou mais definições de política do Azure. Essas estratégias podem ajudá-lo a avaliar a conformidade com AV Controle CE; No entanto, não há correspondência de um ou um ou perfeito entre o controle e uma ou mais estratégias. Essas políticas podem ajudá-lo a avaliar o cumprimento do controle; No entanto, muitas vezes não é uma correspondência completa de um-para-um entre um controle e uma ou mais policiais. Assim, a conformidade na política do Azure refere-se apenas às próprias definições da estratégia; Isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. Como tal, compatível com a política do Azure se inverte apenas às próprias definições políticas; Isso não garante que você esteja totalmente compatível com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são processados por qualquer definição de política do Azure para o momento. Além disso, o padrão de conformidade inclui controles que não são endereçados por nenhuma definição de política do Azure neste momento. Portanto, a conformidade na política do Azure é apenas uma visão parcial do estado global. Portanto, a conformidade na política do Azure é apenas uma visão parcial do seu status global de conformidade. As associações entre as áreas de conformidade, os controles e definições Azure Política para este padrão de conformidade pode mudar ao longo do tempo. As associações entre domínios, controles e definições de política de conformidade de conformidade para esse padrão de conformidade podem mudar ao longo do tempo. Para ver o histórico de alterações, confira a história do GitHub.Para ver o histórico de mudanças, consulte o histórico do github.

identidade e acessório e adesão. Gerenciamento de acesso

Verifique se a autenticação multifactor é habilitada para todos os usuários privilegiados que a autenticação multi-fator está habilitada para todos os usuários privilegiados

ID: CISS Azure Azure 1.1: CustomerID: CIS Azure 1.1 Propriedade: cliente

D

Namename (Portal Azure) (Portal Azure) Descrição effect (s) efeito (s) verserendion
A autenticação multifactora deve ser ativada nas contas com permissões de redação em seu subscriptionmfa deve ser contas ativadas com permissões de gravação em sua assinatura A MFA (Autenticação Multi-Fattor) deve estar habilitada para todas as contas de assinatura com privilégios de acesso a gravação para evitar uma violação de contas ou recursos. A autenticação do fator (MFA) deve ser ativada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de Contas de recursos dourados. auditifnotexists, desabilitado 3.0.03.0.0
multifactor (MFA) deve ser ativado em contas com o proprietário As autorizações em sua subscriptionMFA devem ser ativadas em contas com permissões do proprietário em sua assinatura MFA (Autenticação multi-fator) deve estar habilitada para todas as contas da assinatura com o proprietário da Autorizações para evitar uma violação de contas ou recursos A autenticação .multi-fator (MFA) deve ser ativada para todas as contas de assinatura com permissões do proprietário para impedir uma violação de recursos de ouro de contas. auditifnotexists, desabilitado 3.0.03.0.0

Verifique se a autenticação multifactor é habilitada para todos os usuários não privilegiados que a autenticação multi-fator está habilitada para todos os usuários não privilegiados

ID: CIS Azure 1.2 Propriedade: CustomerID: CIS Azure 1.2 Propriedade: Cliente

verserendion
(github)

Namename (Portal Azure) (Azure) Portal) Descrição Descrição efeito efeito (s)
Multifactor Autenticação (MFA) deve ser ativada nas contas com autorizações de leitura em seu subscriveMFA deve ser ativada em contas lidas Permissões na sua assinatura MFA (Autenticação multi-fator) deve ser ativada para todos os cos Assinatura com privilégios de leitura para evitar uma violação de contas ou recursos.multi-fator Authentication (MFA) deve ser ativado para todas as contas de assinatura com privilégios de leitura para evitar uma violação de recursos de ouro de contas. auditifnotexists, desabilitado 3.0.03.0.0

Verifique se não há usuário convidado a não haver usuários convidados

ID: cistomeid Propriedade 1.3: CustomerID: CIS Azure 1.3 Propriedade: Cliente

Namename (Portal Azure) (Portal Azure) Descrição Descrição efeito do efeito (s) verserendion
Contas externas com permissões do proprietário precisam ser excluídas de suas contas de subscriptionExternal com as permissões do proprietário devem ser removidas de sua assinatura Contas externas com permissões do tipo proprietário devem ser excluídas da sua assinatura para Evitar Acesso descontrolado.External Contas com permissão do proprietário S Deve ser removido da sua assinatura para evitar o acesso não monitorado. auditifnotexists, auditais desabilitados, desativado 3.0.03.0.0
contas externas com permissões de reprodução precisam ser excluídas do seu Contas SubscriptionExterNal com permissões de leitura devem ser removidas de sua assinatura contas externas com os privilégios de acesso de leitura devem ser excluídas da sua assinatura para evitar que o acesso descontrolado.External contas com privilégios de leitura deve ser removido da sua assinatura, a fim de evitar Acesso não monitorado. auditifnotexists, desabilitado 3.0.03.0.0
contas externas com permissões de redação devem ser excluídas de suas contas de subscriçãoexternal Com as permissões de gravação, devem ser removidas da sua assinatura Contas externas com privilégios de acesso a gravação devem ser excluídas da sua assinatura para evitar o acesso descontrolado.Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. auditifnotexists, desabilitado 3.0.03.0.0

Verifique se nenhuma função de proprietário de assinatura personalizada é criada que nenhuma função de proprietário de assinatura personalizada é criada

ID: Cistomeid Property 1.23: CustomerID: CIS Azure 1.23 Propriedade: Cliente

namamame (Portal Azure) (Portal Azure) Descrição Descrição efeito (s) verserverendion
As funções do proprietário de assinatura personalizada não devem existerCustom As funções do proprietário de assinatura não devem existir Essa estratégia garante que não haja papel como proprietário de assinatura personalizado. Essa política de política que Nenhuma função de proprietário de assinatura personalizada existe. auditoria, desativado, desabilitado 2.0.02.0.0

CenterCurity Center

Verifique se o nível de tarifas padrão é selecionado que a camada de preços padrão é selecionada

ID: propriedade CIS Azure 2.1: CustomerID: CIS Azure 2.1 Propriedade: Cliente

Namename (Portal Azure) (Portal Azure) (Portal Azure) Descrição Descrição effect (s) verendion
O nível de tarifa do centro de segurança padrão deve ser selecionado Centro de preços padrão de precificação padrão deve ser selecionado O nível tarifário padrão permite o detecção de ameaças em redes e máquinas virtuais, fornecendo funções de inteligência em ameaças, detecção de anomalias e E de comportamento em Centros de Segurança do Azure Nível de Preço Padrão Permite a detecção de ameaças para redes e máquinas virtuais, fornecendo inteligência de ameaças, detecção de anomalia e análise de comportamento no Centro de Segurança do Azure , Disablage, desativado 1.0.01.0.0

Verifique se a opção “provisionamento automático de O agente de supervisão “é definido como” ON “Garantir que” O provisionamento automático do agente de monitoramento “seja definido como ‘On’

ID: CIUS Azure Azure 2.2: CustomerID: CIS Azure 2.2 Propriedade: Cliente

namamame (Portal Azure) (Portal Azure) Descrição Descrição efeito versionerendion
O provisionamento automático do Agente de Analytics Log deve ser ativado no seu O Provisionamento de Abonnementato do Agente de Log ANNTICS deve ser ativado em sua assinatura Superar ameaças e vulnerabilidades de segurança, o Azure Security Center coletar dados do seu Azure.Para monitorar vulnerabilidades de segurança Máquinas virtuais e ameaças, coleta do Centro de Segurança do Azure Dados de suas máquinas virtuais azure. Os dados são coletados pelo Agente de Analytics Log, anteriormente chamado de Microsoft Monitoring Agent (MMA). Este agente lê vários logs e configurações de eventos relacionados à segurança da máquina, então copie os dados em sua área de trabalho do Log Analytics para fins de análise.data é coletada pelo Agente de Analytics de Log, conhecido Trainly como o Microsoft Monitoring Agent (MMA), que Lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para o espaço de trabalho do Log Analytics para análise. Recomendamos que você ative o fornecimento automático para implementar automaticamente o agente em todas as máquinas virtuais do Azure suportadas e em todas as delas criadas. Recomendamos a oferta de provisionamento automático para implantar automaticamente o agente a todos os VMs do Azure suportados e quaisquer novos que são credados. auditifnotexists, desabilitado 1.0.11.0.1

Verifique se a configuração Política de CSA padrão” Atualizações do sistema Monitor “não estão definidas como” desativadas “Certifique-se de que a configuração de política padrão de ASC” Monitor System Atualizações “não é” desativado “

ID: CIS Azure 2.3: CustomerID: CIS Azure 2.3 Propriedade: Cliente

Namename (Portal Azure) (Portal Azure) Descrição effect (s) efeito (s) verserendion
As atualizações do sistema devem ser instaladas em suas atualizações de machinesistemas devem ser instaladas em suas máquinas As atualizações de sistema de segurança ausente em seus servidores Seja supervisionado pelo Azure Security Center como recomendação Atualizações do sistema de segurança em seus servidores serão monitorados pelo Centro de Segurança do Azure como recomendações auditifnotexists, desativado 3.0.03.0.0

Verifique se a configuração de política AGC padrão “monitora vulnerabilidades do sistema operacional” não está definida como ” Desativado “Ensur A configuração de política padrão de ASC “Monitorar vulnerabilidades do sistema operacional” não é “desabilitado”

ID: CIST Azure 2.4: CustomerID: CIS Azure 2.4 Propriedade: Cliente

namamame (Portal Azure) (Portal Azure) Descrição Descrição efeito (s) Efeito (s) versionrenion
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas para as máquinas de trabalho devem ser corrigidas em suas máquinas não devem atender aos servidores que não respeitam a base de referência configurada serão supervisionadas pelo Centro de Segurança do Azure como Recomendações Qual não satisfazer a linha de base configurada Será monitorado pelo Centro de Segurança do Azure como Recomendações AuditifNotexists, desativado 3.0.03.0 .0

Verifique se a configuração padrão da política padrão da UCA” Proteção de endpoint “não está definida como” desativado “Assegure a configuração de política padrão de ASC” “Não é” desativado “

ID: CISS Azure 2.5: CustomerID: CIS Azure 2.5 Propriedade: Cliente

Namename (Portal Azure) (Portal Azure) Descrição Descrição efeito efeito (s) versionerendion
supervisão de agentes de proteção do endpoint no Centermonitor de segurança do Azure Proteção do endpoint no Centro de Segurança do Azure Servidores sem o Endpoint Protection Agent instalado será supervisionado pelo Centro de Segurança do Azure como recomendaçõesServers sem um agente de proteção do endpoint instalado será monitorado pela segurança do Azure C Digite como recomendações auditifnotexists, desabilitada 3.0.03.0.0

Verifique se a configuração padrão da política de CSA “Monitor de Disco Monitor” não está definida como “Desabilitado” Assegure-se de que a configuração de política padrão de ASC “Monitor Disk Encryption” não é “desativado”

ID: CISS Azure 2.6: CustomerID: CIS Azure 2.6 Propriedade: Cliente

Namename (Portal Azure) (Portal Azure) Descrição Descrição Efeito (s) Efeito (s) verserverendion
A criptografia de disco deve ser aplicado à criptografia Virtual MachinesDisk deve ser apple em máquinas virtuais Máquinas virtuais sem criptografia de disco ativada serão supervisionadas pelo Azure Securit Há como recomendações.Virtual máquinas sem uma criptografia de disco habilitada será monitorada pelo Centro de Segurança do Azure conforme recomendado. auditifnotexists, desabilitado 2.0.02.0.0

Verifique se o parâmetro de política padrão ASC” Supervisionar grupos de segurança da rede “não está definido como” desativado “Assegure a configuração de política padrão de ASC” Monitorar grupos de segurança da rede “não é” desativado “

ID: CIS Azure 2.7: CustomerID: CIS Azure 2.7 Propriedade: cliente

Namename (Portal Azure) (Portal Azure) Descrição effect (s) efeito (s) verserendion
As recomendações de reforço da rede adaptativa precisam ser aplicadas a máquinas virtuais acessíveis a partir das recomendações de endurecimento da rede da internet, devem ser aplicadas na Internet enfrentando máquinas virtuais Azure Security Center analisa as tendências de tráfego de máquinas virtuais acessíveis na Internet e fornece recomendações sobre as regras do Grupo de Segurança de Rede para reduzir para reduzir a superfície do Ataque PotentiaLezure Security Center analisa os padrões de tráfego de máquinas virtuais à Internet e regra de grupo de segurança de rede Provids Recomendações que reduzem a superfície de ataque potencial auditiva NotExists, desabilitados, desativados 3.0.03.0.0

ID: CIS Azure 2.9: CustomerID: CIS Azure 2.9 Propriedade: Cliente

verendion (github) (Github)

Namename
(Portal Azure) (Portal Azure)
Descrição Descrição efeito (s)
As máquinas virtuais acessíveis da Internet devem ser protegidas Com as máquinas virtuais de gregas de segurança de rede, devem ser protegidas com grupos de segurança de rede Proteger suas máquinas virtuais contra ameaças potenciais, limitando seu acesso a grupos de segurança de rede (NSG) .Protect suas máquinas virtuais de potenciais ameaças, restringindo Acesso a eles com grupos de segurança de rede (NSG). Para saber mais sobre o controle de tráfego com grupos de segurança de rede, consulte https://aka.ms/nsg-doc.Learn Mais sobre como controlar o tráfego com o NSGS em AuditifnotExists, auditais desabilitados, desabilitados 3.0.03.0.0
As sub-redes precisam ser associadas a um grupo de seconidade que a RESEASUBNETS deve estar associada a um grupo de segurança de rede Proteja sua sub-rede contra as potenciais ameaças, limitando o acesso a um grupo de segurança de rede (NSG) .Protect sua sub-rede de ameaças potenciais, restringindo o acesso a ele com um grupo de segurança de rede (NSG). O NSGS contém uma lista de regras de lista de controle de acesso (LCDs) que permitem ou recusam o tráfego de rede ao seu sub-rede.NSGs contêm uma lista de regras de lista de controle de acesso (ACL) que permitem que o ouro negue o tráfego de rede à sua sub-rede. auditifnotexists, desabilitado 3.0.03.0.0

Verifique se a configuração de política AGC padrão” supervisionar a avaliação de vulnerabilidades “não está definida como” desativado “Certifique-se de que a configuração de política padrão de ASC” Monitor de vulnerabilidade “não é” desativado “

ID: CIS Azure 2.10: CustomerID: CIS Azure 2.10 Propriedade: cliente

Namename
(Portal Azure) (Portal Azure)
Descrição Descrição Efeito (s) efeito versionerendion
Uma solução de vulnerabilidade de solução deve estar em sua solução virtual de avaliação de vulnerabilidades de vulnerabilidades deve ser deva Beillad em suas máquinas virtuais Máquinas virtuais de auditoria para detectar se eles exc Use uma solução de avaliação de vulnerabilidade. Audita as máquinas virtuais para detectar se eles estão executando a solução de avaliação de vulnerabilidade suportada. A identificação e análise das vulnerabilidades constituem um componente fundamental de cada programa de segurança e avaliação de risco cibernético. Um componente principal de todos os programas de risco e segurança cibernéticos é a identificação e análise de vulnerabilidades. O nível tarifário padrão do Centro de Segurança do Azure inclui a análise de vulnerabilidade de suas máquinas virtuais sem custo adicional. O nível de precificação padrão do Centro de Segurança adicional inclui a varredura de vulnerabilidade para suas máquinas virtuais, sem custo extra. Além disso, o Security Center pode implantar esta ferramenta automaticamente para você. Centro de segurança pode implantar automaticamente essa ferramenta para você. auditifnotexists, desativado, desativado 3.0.03.0.0

Verifique se a configuração padrão da política da CSA “Monitor L ‘Jit Rede Access “Não está definido para” Desativado “Assegure a configuração de política padrão de ASC” Monitor Jit Network Access “não é” desativado “

ID: cistomeid Propriedade 2.12: CustomerID: CIS Azure 2.12 Propriedade: Cliente

Namename (Portal Azure) (Portal Azure) Descrição Descrição efeito (s) verserverendion
As portas de gerenciamento de máquinas virtuais devem ser protegidas por uma porta de controle de acesso de rede de rede justa para as máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O acesso no tempo (JIT) à rede será supervisionado pelo Centro de Segurança do Azure como RecomendaçãoPSP A rede apenas no tempo (jit) será monitorada pelo Centro de Segurança do Azure como Recomendações AuditifnotExists, desativado 3.0.03.0.0 td

ID: Propriedade CIS Azure 2.13: CustomerID: CIS Azure 2.13 Propriedade: Cliente

Namename (Portal Azure) (Portal Azure) Descrição Th> efeito (s) efeito (s) verserverendion
Os controles de aplicativos adaptativos para definir aplicativos seguros devem ser habilitados em seus controles de aplicativos de máquinas para definir os aplicativos de aplicativos seguros devem ser ativados em suas máquinas Ativar controles de aplicativos para definir a lista de aplicativos reconhecidos confiáveis que correm em suas máquinas e avisá-lo quando de um Use aplicativos em execução. Controles de aplicativos para definir a lista de aplicativos conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos são executados. A segurança de suas máquinas contra software malicioso é reforçada. Isso ajuda a endurecer suas máquinas contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Security Center usa a máquina de aprendizado para analisar aplicativos que são executados em cada máquina e sugerem a lista de aplicativos reconhecidos confiáveis. Para simplificar o processo de configuração e manutenção de suas regras, a Central de segurança usa o aprendizado de máquina Para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos. auditifnotexists, desabilitado 3.0.03.0.0

Verifique se o parâmetro Padrão ASC” Supervisionar o SQL Audit “não está definido como” desativado “Certifique-se de ASC Política padrão Configuração” Monitor SQL Auditoria “não é” desativado “

ID: CIFS Azure 2.14: CustomerID: CIS Azure 2.14 Propriedade: Cliente

versionerendion
(github) ( Github)

namename
(Portal Azure) (Portal Azure)
Descrição Descrição efeito (s) Efeito (s)
A auditoria no SQL Server deve ser ativado no SQL O servidor deve ser ativado A auditoria no servidor do SQL Server deve ser ativada para rastrear as atividades de todos os bancos de dados do servidor e salvá-los em um log de auditoria. Auditoria no seu O SQL Server deve ser ativado para rastrear atividades do banco de dados em todos os bancos de dados no servidor e salvá-los em um log de auditoria. auditifnotexists, desabilitado 2.0.02.0.0

Verifique se a configuração padrão da política do CSC” Monitor SQL Encryption “não está definida como” desabilitada “Certifique-se de que a configuração de política padrão de ASC” Monitor SQL Encryption “não é” desativado “

ID: CIS Azure 2.15: CustomerID: CIS Azure 2.15 Propriedade: Cliente

Namename (Portal Azure) (Portal Azure) Descrição effect (s) efeito (s) verserendion
A criptografia de dados transparente nos bancos de dados SQL deve ser a criptografia de dados ActiveTransparent em bancos de dados SQL deve ser ativada A criptografia de dados transparente deve ser Ativado para proteger os dados de descanso e atender aos requisitos da criptografia de dados complienceCestransparent deve ser ativado para proteger os dados-em-repouso e atender aos requisitos de conformidade auditifnotexists, desativado, desativado 1.0.01.0 .0

Verifique se a opção “Security Contact Emails” é definida para isso ‘E-mails de contato de segurança’ é definido

ID: propriedade CIS Azure 2.16: CustomerID: CIS Azure 2.16 Propriedade: Cliente

verserendion
(github)

Namename (Portal do Azure) (Portal Azure) DescriçãoDescrição Effect (s)
As assinaturas devem ter o endereço de e-mail de um contato para problemas de segurança devem ter um endereço de e-mail de contato para segurança de para informar as pessoas envolvidas em sua organização de uma potencial violação de segurança em uma de suas assinaturas, defina um contato de segurança que receberá notificações por e-mail no Centro de Segurança. Para garantir que as pessoas latist na sua organização São notificados quando há uma possível violação de segurança em uma de suas assinaturas, defina um contato de segurança para receber notificações por e-mail do centro de segurança. auditifnotexists, desabilitado 1.0.11.0.1

Verifique se a opção” Enviar uma notificação por e-mail para altos alertas de gravidade “é definida como” ON “Certifique-se de que” Enviar Notificação de e-mail para alertas de alta gravidade “é definida como ‘On’

ID: CISS Azure 2.18: CustomerID: CIS Azure 2.18 Propriedade: cliente

Namename
(Portal Azure) (Portal Azure)
Descrição Descrição Effect (s) Efeito verserverendion
Notificação por e-mail para altos alertas de gravidade deve ser notificação ativada para alertas de alta gravidade Deve ser ativado Informar as pessoas envolvidas em sua organização de uma potencial violação de segurança em um de V Assinaturas do sistema operacional, Ativar notificações por e-mail para altos alertas de gravidade no centro de segurança. No centro de segurança. auditifnotexists, desabilitado 1.0.11.0.1

Verifique se a opção” Enviar um e-mail para os proprietários de assinatura “é definido como” ON “Certifique-se de que” Enviar e-mail também para os proprietários de assinatura “é definido como ‘on’

ID: CISS Azure 2.19: CustomerID: CIS Azure 2.19 Propriedade: cliente

TH> Namename
(Portal Azure) (Portal Azure)

versionerendion
(github ) (Github)

DescriçãoDescription effect (s) efeito (s)
notificação por e -mail à assinatura Proprietário para alertas de alta gravidade devem ser notificação de ativação do proprietário de assinatura para altos alertas de gravidade devem ser ativados Informar os proprietários de assinatura de uma potencial violação de segurança É em sua assinatura, ative o envio de notificações por e-mail para esses proprietários para alertas de alta gravidade no Centro de Segurança. Para garantir que seus proprietários de assinatura sejam notificados quando há uma potencial violação de segurança em sua assinatura, defina notificações por e-mail para os proprietários de assinatura Alertas de gravidade no centro de segurança. auditifnotexists, desabilitada, desativado 1.0.11.0.1

contas de armazenamento contas

Verifique se o ” A transferência segura necessária “é definida como” habilitada “Assegure-se de que” transferência segura é necessária “é definida como ‘ativada’

ID: CIS Azure 3.1: CustomerID: CIS Azure 3.1 Propriedade: Cliente

Namename (Portal Azure) (Portal Azure) Descrição Descrição efeito do efeito (s) verserendion
Proteger a transferência para contas de armazenamento deve ser ativada A transferência para contas de armazenamento deve ser ativada Requisito de transferência seguro de auditoria em sua conta de armazenamento. Requisito de transferência segura em sua conta de armazenamento . A opção de segurança de transferência requer que sua conta de armazenamento aceite somente consultas a partir de conexões seguras (HTTPS). Cure Transfer é uma opção que força sua conta de armazenamento a aceitar solicitações apenas de conexões seguras (HTTPS). O uso de HTTPs garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra os ataques da camada de rede (ataque do interceptor ou “man-in-the-meio”, ouvindo o seqüestro. Sessão) De HTTPS Ensurestract entre o servidor e o serviço e protege os dados em trânsito de ataques de camada de rede, como homem-in-the-médio, espionagem e seqüestro de sessão auditoria, recusar, desativado, desativado 2.0.02.0.0

Verifique que ” O nível de acesso público “é definido como privado para contêineres de objeto blobensure que” nível de acesso público “é definido como privado para recipientes de blob

ID: CIS Azure 3.6 Propriedade: CustomerID: CIS Azure 3.6 Propriedade: Cliente

Acesso público à conta de armazenamento deve ser interdretartage Acesso público Acesso não deve ser permitido

namamame (Portal Azure) (Portal Azure) Descrição Descrição Efeito (s) efeito (s) verserverendion
Acesso na leitura pública anônima para contêineres e blobs no armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar segurança RISCO. O acesso de leitura públicaanymous público a contêineres e blobs no armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. Para evitar que os dados viole o acesso anônimo dédesirado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. auditoria, negar, desativado, desabilitado 2.0.1-preview2.0.1-Preview

Verifique se a regra de acesso de rede padrão para contas de armazenamento é definida como RECUSERENSURA regra de acesso à rede padrão para contas de armazenamento é definida como Negar

ID : CIS Azure Propriedade 3.7: CustomerID: CIS Azure 3.7 Propriedade: Cliente

Namename
(Portal Azure) (Portal Azure)
DescriçãoDescription Effect (s) verserendion
(github) (github)
As contas de armazenamento devem limitar as contas de reavia de acesso devem restringir o acesso à rede Acesso à rede às contas de armazenamento deve ser limitado.Network Acesso às contas de armazenamento deve ser restrito. Configure as regras de rede de forma que apenas aplicativos de rede autorizados possam acessar as regras de rede de contas de armazenamento.Configure para que apenas os aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões específicas da Internet ou de clientes locais, o acesso ao tráfego pode ser permitido a partir de redes virtuais do Azure específicas ou para as praias de endereço IP da Internet pública.Para permitir conexões do Internet específico do Internet no local, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou Para o endereço IP da Internet pública varia auditoria, recusar, desabilitar, desativado 1.1.11.1.1

Verifique se a opção “Aprovado Microsoft Services” é ativada para o ‘ O acesso à conta de armazenamento ‘Trusted Microsoft Services’ está habilitado para acesso à conta de armazenamento

ID: CISTOMERID Propriedade 3.8: CustomerID: CIS Azure 3.8 Propriedade: Cliente

nameName portal azul) descriptionDescription efeito efeito (s) verserendion
As contas de armazenamento devem Permitir acesso da Microsoft Services Aprovado As contas devem permitir o acesso a partir de serviços de Microsoft confiáveis Alguns serviços da Microsoft que interagem com contas de armazenamento funcionam de redes que não podem obter acesso através de regras de rede. Alguns serviços da Microsoft T Hat Interact com contas de armazenamento operam de redes que não podem ser concedidas acesso por meio de regras de rede. Para que esse tipo de serviço funcione conforme planejado, permita que todos os serviços da Microsoft aprovados ignorem as regras de rede. Para ajudar esse tipo de serviço de serviço tão intencionado, permita que o conjunto de serviços da Microsoft confiável contorne as regras da rede. Esses serviços então usam autenticação forte para acessar a conta de armazenamento. Esses serviços usarão uma forte autenticação para acessar a conta de armazenamento. auditoria, recusar, desativado, negar, desativado 1.0.01.0.0

Database ServicesDatabase Services

Verifique se a opção “Audit” é definida como “ON” Certifique-se de que “Auditoria” esteja definida como ‘On’

ID: CISS Azure 4.1: CustomerID: CIS Azure 4.1 Propriedade: Cliente

verserverendion

Namename
(Portal Azure) (Portal Azure)
DescriçãoDescription Effect (s)
A auditoria no SQL Server deve ser ativada O SQL Server deve ser ativado A auditoria no seu servidor SQL deve ser ativada para rastrear as atividades de todos os bancos de dados do servidor e salvá-los em um log de auditoria.Aditing no seu servidor SQL deve ser ativado para rastrear a Lei do Banco de Dados Ivities em todos os bancos de dados no servidor e salvá-los em um log de auditoria. auditifnotexists, desabilitado 2.0.02.0.0

Verifique se” auditandiongroups “na estratégia” Auditoria “para um servidor SQL é definido corretamente que ‘auditandgroups’ na política ‘auditoria’ para um servidor SQL é definido corretamente

ID: CIS CIS Azure 4.2: CustomerID: CIS Azure 4.2 Propriedade: Cliente

verserendion (github) (github) )

Namename
(Portal Azure) (Portal Azure)
DescriçãoDescrição efeito (s) Efeito (s)
Os parâmetros de auditoria SQL devem ter grupos de ações configuradas para Capturar as configurações de auditoria de atividades críticas devem ter grupos de ação configurados para capturar atividades críticas A propriedade AuditandSandGroups deve conter pelo menos conhecido CCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantir o registo completo de auditThe AuditActionsAndGroups deveres de propriedade conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantir uma log de auditoria completa AuditIfNotExists, DésactivéAuditIfNotExists, Disabled 1.0.01.0 .0

Verifique se o período de retenção de auditoria é superior a 90 dias que ” A retenção de auditoria é ‘maior que 90 dias’

ID: CIS Azure 4.3: CustomerID: CIS Azure 4.3 Propriedade: Cliente

Namename (Portal Azure) DescriçãoDescription Effect (s) VersionVerendion
SQL Servidores devem ser configurados com um período de retenção de auditoria de 90 dias de 90 dias Os servidores devem ser configurados com 90 dias de auditoria Gold Rense Rense Superior SQL Servidores devem ser configurados com um período de A retenção de auditoria de pelo menos 90 dias. Servidores .SQL devem ser configurados com retenção de auditoria de 90 dias ou superior. auditifnotexists, désactivauditifnotexists, desativado 2.0.12.0.1

vérifier que l’opção” Segurança avançada de dados “sur NeveUR SQL Server Est Définie sur” ON “Assegure-se de que” Segurança de Dados Avançados “em um servidor SQL esteja definido como ‘On’

ID: Propriété CIS Azure 4.4: CustomerID: CIS Azure 4.4 Propriedade: cliente

versionversion
( Github) (github)

nomName
(portail Azure) (Portal do Azure)
DescriçãoDescription effet (s) efeito (s)
Segurança avançada de dados doit être active sur O SQL Managed InstanceAdvanced Data Security deve ser ativado na instância do SQL gerenciado Auditez Chaque Instance Managee SQL Sans Advanced Data Security.Audite cada instância gerenciada SQL sem segurança avançada de dados. auditifnotexists, désactivauditifnotexists, desabilitado 1.0.11.0.1
avançado segurança de dados doit être active sur vos servidores SQLAdvanced Data Security deve ser habilitado em seus servidores SQL auditer les servidores SQL SSANS SecurityAudit SQL sem segurança avançada de segurança auditifnotexists, DésactivaAuditifnotexists, desativado 2.0.02.0 .0

vérifier que l’administrateur Azure Active Directory Est Configuréensure que Azure ativo Directory admin é configurado

ID: Propriété CIS Azure 4.8: CustomerID: CIS Azure 4.8 Propriedade: cliente

nomName
(portail Azure) (Portal do Azure)
DescriçãoDescription effet (s) efeito (s) versionversão
(github) (github)
Un. Administration Azure Active Directory Doit être Aprovisionné derramar les servidores SQLAN Azure Administrador do Active Directory deve ser provisionado para servidores SQL Auditer L’Aprovisnement d’un administratentur Azure Active Directory Pour Authentification L’Authentification Azure ad.Audit O provisionamento de um administrador do Active Directory do Azure para o seu SQL Server para ativar a autenticação do Azure AD. L’Authentification Aze ad Permet UNE GESTION SIMPLIFIÉE DES Autorizações e UNE GESTION CentraliséE des Utilisateurs de Bases de Données Et’ Autenticação Autenticação do MicrosoftAzure do Microsoft, permite o gerenciamento de permissão simplificado e o gerenciamento de identidade centralizado de usuários de banco de dados e outros serviços da Microsoft AuditifnotExists, DésactivaAuditifnotExists, desativado 1.0.01.0.0

vérfiez que l’opção “Chiffrement des Données” Est Définie Sur “ON” SUR UNE BASE DE DONNÉES SQLENSure que “criptografia de dados” é definida como ‘On’ em um banco de dados SQL

ID: propriété CIS Azure 4.9: CustomerID: CIS Azure 4.9 Propriedade: Cliente

versionVersion
(github) (github)

NomName (Portal Azure) (Portal Azure) DescriçãoDescription effet (s) efeito (s)
Encryption de dados transparente sur Les Bases de Données SQL Doit être Acryption de dados em bancos de dados SQL deve ser ativado Le Chiffrement transparente des Données doit être active Les Données Au Repes e Respector Les Condições de Conformité Requisestransparent Criptografia de dados deve ser ativado para proteger os dados-em-repouso e atender aos requisitos de conformidade auditifnotexists, DésactivaAuditifnotExists, desativado 1.0.01.0. 0

vérifier que le proteurreur tde du serve SQL EST Chiffré AVEC BYOK (trazer Sua própria chave) Assegure o protetor TDE do SQL Server é criptografado com BYOK (use sua própria chave)

ID: propriété CIS Azure 4.10: CustomerID: CIS Azure 4.10 Propriedade: Cliente

nomName
(portail Azure) (Portal do Azure)
DescriçãoDescription Effet (s) Efeito (s) VersionVersion
(github) (github)
les instâncias Manageiras SQL Doivent Utilizador des Clés Gérées Par Le LE Données Au Repossql Instâncias gerenciadas devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso l’implementação de TDE (criptografia de dados transparente) AVEC Votre ProPre Vous Offre Les Avantages Suiventes: Transparência e Contrôle Améliorés Sur Le Protegeur TDE, Sécurité Renforcée AVEC Serviço Externamente HSM ET Promoção de la Séparação des Tâches.A implementação de criptografia de dados transparentes (TDE) com sua própria chave fornece a maior transparência e controle sobre o protetor TDE, aumentou a segurança com um serviço externo apoiado pelo HSM e promoção da separação de dívidas. Esta recomendação aplica-se a organizações com requisitos de conformidade associados. Esta recomendação aplicada às organizações com um requisito relativo de conformidade. auditifnotExists, desabilitado 1.0.21.0.2
sql servidores deve usar teclas gerenciadas pelo cliente para criptografar o Os dados para a série REST devem usar as chaves gerenciadas pelo cliente para criptografar dados em repouso A implementação do TDE (Transparent Data Encryption) com sua própria chave oferece os seguintes benefícios: Transparência e controle aprimorado no protetor TDE, Segurança aprimorada com o serviço HSM externo e promoção da separação de tarefas.Implementando a criptografia de dados transparente (TDE) com seus próprios provides de chave aumentou a transparência e o controle sobre o protetor TDE, aumentou a segurança com um serviço externo de backed HSM e promoção da separação das dívidas. Esta recomendação aplica-se a organizações com requisitos de conformidade associados. Esta recomendação aplicada às organizações com um requisito relativo de conformidade. auditifnotexists, desabilitado 2.0.12.0.1

Verifique se a opção” Aplicar conexão SSL “é definida como” ativada “para o mysqlensure ‘Enforce a conexão do servidor de banco de dados SSL’ é definida como ‘ativado’ para o servidor de banco de dados MySQL

ID: cistomerid propriedade 4.11: CustomerID: CIS Azure 4.11 Propriedade: cliente

versionerendion
(github) ( Github)

namename
(Portal Azure) (Portal Azure)
Descrição Descrição efeito (s) Efeito (s)
A aplicação da conexão SSL deve estar ativada para Os servidores de banco de dados SSL MySQLenforce devem ser ativados para servidores de banco de dados MySQL O banco de dados do Azure para MySQL suporta a conexão do seu servidor Azure Banco de dados para os aplicativos do MySQL com os aplicativos do cliente usando o banco de dados Secure Sockets Layer (SSL) ..Zure banco de dados para o MySQL Conectando seu banco de dados do Azure para o MySQL Server ao cliente usando Secure Sockets Layer (SSL). A aplicação de conexões SSL entre o servidor de banco de dados e seus aplicativos de cliente protege você em relação aos “ataques do interceptor” criptografando o fluxo de dados entre o servidor e seu aplicativo.enforcing conexões SSL entre seu servidor de banco de dados e seus aplicativos de cliente ajuda a proteger contra ” Homem nos ataques do meio ‘criptografando o fluxo de dados entre o servidor e sua inscrição. Essa configuração garante que o protocolo SSL esteja sempre ativado para acesso ao seu servidor de banco de dados. Esta configuração implica que o SSL está sempre ativado para acessar seu servidor de banco de dados. auditoria, desativado, desativado 1.0.11.0.1

Verifique se a configuração do servidor” Log_CheckPoints “é definida como” ON “para o parâmetro do servidor Postgresire ‘Log_CheckPoints’ PostgreSQLensure Server ‘é definido como’ On ‘para o servidor de banco de dados do PostgreSQL

ID: CIS Azure 4.12: CustomerID: CIS Azure 4.12 Propriedade: cliente

verserendion (GitHub)

namamame
(Portal Azure) (Portal Azure)
DescriçãoDescription Effect (s)
Os pontos de controle de log devem estar habilitados para que os servidores de banco de dados da postgresqllog devem ser ativados Para servidores de banco de dados postgresql Esta política permite auditar todos os bancos de dados PostgreSQL em seu ambiente NT sem ativar o log_checkpoints.Esta política ajuda a auditar qualquer bancos de dados postgresql em seu ambiente sem configuração Log_CheckPoints ativada. auditifnotexists, desabilitado 1.0.01.0.0

Verifique se a opção” Aplicar conexão SSL “é definida como” Ativado “para a postgresure” Impone a conexão do servidor de banco de dados SSL ‘é definida como’ ativada ‘para o servidor de banco de dados PostgreSQL

ID: CISS Property Azure 4.13: CustomerID: CIS Azure 4.13 Propriedade: cliente

Namename (Portal Azure) (Portal Azure) (Portal Azure) Descrição effect (s) efeito (s) verserendion
A aplicação da conexão SSL deve estar habilitada para a conexão SSL da postgresqlenforce deve ser servidores de banco de dados habilitados para servidores de banco de dados postgresql Azure O banco de dados para o PostgreSQL suporta a conexão do servidor do banco de dados do Azure para o PostgreSQL para os aplicativos do cliente por meio do banco de dados SSL (Secure Sockets Layer) para colchetes PostgreSQL Conectando seu banco de dados do Azure para o servidor PostgreSQL a aplicativos do cliente usando Secure Sockets Layer (SSL). A aplicação de conexões SSL entre o servidor de banco de dados e seus aplicativos de cliente protege você em relação aos “ataques do interceptor” criptografando o fluxo de dados entre o servidor e seu aplicativo.enforcing conexões SSL entre seu servidor de banco de dados e seus aplicativos de cliente ajuda a proteger contra ” Homem nos ataques do meio ‘criptografando o fluxo de dados entre o servidor e sua inscrição. Essa configuração garante que o protocolo SSL esteja sempre ativado para acesso ao seu servidor de banco de dados. Esta configuração implica que o SSL está sempre ativado para acessar seu servidor de banco de dados. auditoria, desativado, desativado 1.0.11.0.1

Verifique se a configuração do servidor” Log_Connections “está definida como” ON “para o parâmetro do servidor Postgresire ‘Log_Connection’ Servidor PostgreSQLensure definido como ‘On’ para o ID do banco de dados PostgreSQL

ID : CIS Azure 4.14: CustomerID: CIS Azure 4.14 Propriedade: cliente

verendion (github) (github)

namamame
(Portal Azure) (Portal Azure)
DescriçãoDescription Effect (s)
as conexões de log devem ser ativadas para conexões de servidores de banco de dados postgresqllog devem ser ativadas para postgresql Servidores de banco de dados Esta política permite auditar todos os bancos de dados PostgreSQL do seu ambiente sem Ativar o log_connections.Esta política ajuda a parâmetros Auditam todos os bancos de dados PostgreSQL em seu ambiente sem configuração Log_Connections ativado. auditifnotexists, desabilitado 1.0.01.0.0

Verifique se a configuração do servidor” Log_Disconnections “é definida como” On “para o parâmetro do servidor Postgrese ‘Log_Disconnection’ Servidor PostgresQLensure definido como ‘On’ para o ID do banco de dados PostgreSQL

ID : CIS Azure 4.15: CustomerID: CIS Azure 4.15 Propriedade: cliente

namamame
(Portal Azure) (Portal Azure) DescriçãoDescription Effect (s)

verendion (github) (github)
desconexões devem ser registradas para os servidores de banco de dados postgresql.disconnections devem ser registrados para o banco de dados PostgreSQL servidores. Esta política permite auditar todos os bancos de dados V PostgreSQL Ambiente da OTRE sem ativar o log_disconnections.Esta política ajuda a auditar quaisquer bancos de dados PostgreSQL em seu ambiente sem log_disconnections ativados. auditifnotexists, desabilitado 1.0.01.0.0

Verifique se a configuração do servidor” Connection_Trottling “é definida como” ON “para o parâmetro do servidor Postgresire ‘Connection_throttling’ é definido como ‘On’ para o servidor de banco de dados PostgreSQL

ID: CIS Azure 4.17: CustomerID: CIS Azure 4.17 Propriedade: Cliente

NAMENAME Br> (Portal Azure) (Portal Azure) DescriçãoDescription Effect (s) verserendion
(github) (github)
A limitação de conexão deve ser ativada para o acelerador de servidores de banco de dados PostgreSQLConnection deve ser ativado para Servidores de banco de dados postgresql Esta estratégia ajuda a auditar todos os bancos de dados postados GRESQL do seu ambiente sem ativar a limitação de conexão. Esta política ajuda a auditar todos os bancos de dados PostgreSQL em seu ambiente sem acionamento de conexão ativado.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *