Sicherheitsbewertung

  • Artikel

Übersicht über den Sicherheitsscore

Microsoft Defender für Cloud hat zwei Hauptziele:

  • Ihre aktuelle Sicherheitslage besser verstehen
  • Ihre Sicherheit effizient und effektiv verbessern

Die zentrale Funktion von Defender für Cloud zum Erreichen dieser Ziele ist die Sicherheitsbewertung.

Alle Defender for Cloud-Kunden erhalten automatisch Zugriff auf die Sicherheitsbewertung, wenn sie Defender for Cloud aktivieren. Der Microsoft-Cloudsicherheitsbenchmark (Microsoft Cloud Security Benchmark, MCSB), früher als Azure Security Benchmark bezeichnet, wird automatisch auf Ihre Umgebungen angewendet und wird alle integrierten Empfehlungen generieren, die Teil dieser Standardinitiative sind.

Defender für Cloud führt eine fortlaufende Bewertung Ihrer cloudübergreifenden Ressourcen in Bezug auf Sicherheitsprobleme durch. Anschließend werden alle Ergebnisse in einer einzigen Bewertung zusammengefasst, sodass Sie auf einen Blick Ihre aktuelle Sicherheitssituation erkennen können: je höher die Bewertung, desto geringer das ermittelte Risiko.

  • Auf den Seiten des Azure-Portals wird die Sicherheitsbewertung als Prozentwert angezeigt, und die zugrunde liegenden Werte sind ebenfalls übersichtlich dargestellt:

    Sicherheitsbewertung insgesamt, wie im Portal angezeigt

  • In der mobilen Azure-App wird die Sicherheitsbewertung als Prozentwert angezeigt, und Sie können auf die Sicherheitsbewertung tippen, um die Details anzuzeigen, die die Bewertung erläutern:

    Anzeige der Sicherheitsbewertung insgesamt in der mobilen Azure-App.

Um Ihre Sicherheit zu erhöhen, überprüfen Sie die Seite mit den Empfehlungen von Defender für Cloud, und korrigieren Sie die Empfehlung, indem Sie die Korrekturanweisungen für jedes Problem befolgen. Die Empfehlungen sind nach Sicherheitskontrollen gruppiert. Jede Sicherheitskontrolle ist eine logische Gruppe verwandter Sicherheitsempfehlungen, die anfällige Angriffsflächen widerspiegelt. Ihre Bewertung verbessert sich nur, wenn Sie alle Empfehlungen für eine einzelne Ressource innerhalb einer Sicherheitskontrolle umsetzen. Um zu sehen, wie gut jede einzelne Angriffsfläche in Ihrer Organisation geschützt ist, sehen Sie sich die Bewertungen für die einzelnen Sicherheitskontrollen an.

Weitere Informationen finden Sie unter Berechnen Ihrer Sicherheitsbewertung.

Verwalten ihres Sicherheitsstatus

Auf der Seite „Sicherheitsstatus“ können Sie die Sicherheitsbewertung für Ihr gesamtes Abonnement und alle Umgebungen in Ihrem Abonnement anzeigen. Standardmäßig werden alle Umgebungen angezeigt.

Screenshot: Seite mit Sicherheitsbewertung.

Seitenabschnitt BESCHREIBUNG
Screenshot: Anzeige der verschiedenen Umgebungsoptionen. Wählen Sie Ihre Umgebung aus, um deren Sicherheitsbewertung und Details anzuzeigen. Es können mehrere Umgebungen gleichzeitig ausgewählt werden. Die Seite ändert sich basierend auf der hier getroffenen Auswahl.
Screenshot: Umgebungsabschnitt der Seite mit der Sicherheitsbewertung. Zeigt die Gesamtzahl der Abonnements, Konten und Projekte an, die sich auf ihre Gesamtbewertung auswirken. Außerdem wird gezeigt, wie viele fehlerhafte Ressourcen und wie viele Empfehlungen in Ihren Umgebungen vorhanden sind.

Mit der unteren Hälfte der Seite können Sie alle Ihre einzelnen Abonnements, Konten und Projekte anzeigen und verwalten, indem Sie ihre jeweiligen Sicherheitsbewertungen, die Anzahl der fehlerhaften Ressourcen und sogar Empfehlungen dafür ansehen.

Sie können diesen Abschnitt nach Umgebung gruppieren, indem Sie das Kontrollkästchen „Nach Umgebung gruppieren“ auswählen.

Screenshot: Untere Hälfte der Seite mit der Sicherheitsbewertung.

Berechnen Ihrer Sicherheitsbewertung

Der jeweilige Beitrag der einzelnen Sicherheitskontrollen zur gesamten Sicherheitsbewertung ist auf der Seite mit Empfehlungen angegeben.

Sicherheitskontrollen von Microsoft Defender für Cloud und deren Auswirkungen auf Ihre Sicherheitsbewertung.

Um alle zu erzielenden Punkte für eine Sicherheitskontrolle zu erhalten, müssen alle Ihre Ressourcen allen Sicherheitsempfehlungen innerhalb der Sicherheitskontrolle entsprechen. Beispielsweise enthält Defender für Cloud mehrere Empfehlungen zum Schützen Ihrer Verwaltungsports. Sie müssen alle Empfehlungen umsetzen, um eine Änderung der Sicherheitsbewertung zu erzielen.

Hinweis

Jedes Steuerelement wird alle acht Stunden pro Abonnement oder Cloudconnector berechnet. Empfehlungen innerhalb eines Steuerelements werden häufiger aktualisiert als das Steuerelement, sodass es zu Abweichungen zwischen der Anzahl der Ressourcen für die Empfehlungen und der im Steuerelement gefundenen Ressourcenanzahl kommen kann.

Beispielbewertungen für ein Kontrollelement

Screenshot: Anwendung der Sicherheitskontrollen für Systemupdates.

In diesem Beispiel:

  • Sicherheitskontrolle „Sicherheitsrisiken beheben“ – Dieses Kontrollelement gruppiert mehrere Empfehlungen im Zusammenhang mit der Ermittlung und Behebung bekannter Sicherheitsrisiken.

  • Maximale Bewertung: Die maximale Anzahl von Punkten, die Sie durch Erfüllen aller Empfehlungen innerhalb eines Kontrollelements erhalten können. Die maximale Bewertung für ein Kontrollelement gibt die relative Bedeutung dieses Kontrollelements an und wird für jede Umgebung korrigiert. Verwenden Sie die maximale Bewertung, um die Probleme zu selektieren, die zuerst behandelt werden müssen.
    Eine Liste aller Kontrollelemente und ihrer maximalen Bewertungen finden Sie unter Sicherheitskontrollen und deren Empfehlungen.

  • Aktuelle Bewertung: Die aktuelle Bewertung für dieses Kontrollelement.

    Aktuelle Bewertung = [Bewertung pro Ressource] * [Anzahl fehlerfreier Ressourcen]

    Jedes Kontrollelement trägt zur Gesamtbewertung bei. In diesem Beispiel trägt das Kontrollelement 2,00 Punkte zur aktuellen Gesamtsicherheitsbewertung bei.

  • Potenzielle Bewertungssteigerung: Die Anzahl der noch verfügbaren Punkte innerhalb des Kontrollelements. Bei Umsetzung aller Empfehlungen in diesem Kontrollelement erhöht sich die Bewertung um 9 %.

    Potenzielle Bewertungssteigerung = [Bewertung pro Ressource] * [Anzahl fehlerhafter Ressourcen]

  • Erkenntnisse: Liefert zusätzliche Details für jede Empfehlung, z. B.:

    • Vorschau-Empfehlung – Diese Empfehlung wirkt sich erst nach GA auf Ihre Sicherheitsbewertung aus.

    • Reparieren– Von der Seite mit den Empfehlungsdetails aus können Sie „Reparieren“ verwenden, um dieses Problem zu beheben.

    • Erzwingen – Über die Seite mit den Empfehlungsdetails können Sie automatisch eine Richtlinie verwenden, um dieses Problem zu beheben, wann immer jemand eine nicht konforme Ressource erstellt.

    • Verweigern – Über die Seite mit den Empfehlungsdetails können Sie verhindern, dass neue Ressourcen mit diesem Problem erstellt werden.

Berechnungen – Verstehen der Bewertung

Metrik Formel und Beispiel
Aktuelle Bewertung der Sicherheitskontrolle
Gleichung zum Berechnen der Bewertung einer Sicherheitskontrolle

Jede einzelne Sicherheitskontrolle trägt zur Sicherheitsbewertung bei. Jede Ressource, die von einer Empfehlung innerhalb des Kontrollelements betroffen ist, trägt zur aktuellen Bewertung des Kontrollelements bei. Dies schließt keine Ressourcen ein, die in Vorschauempfehlungen gefunden werden. Die aktuelle Bewertung für jedes Kontrollelement ist ein Maß für den Status der Ressourcen innerhalb des Kontrollelements.
QuickInfos mit den Werten, die beim Berechnen der aktuellen Bewertung der Sicherheitskontrolle verwendet werden
In diesem Beispiel wird die maximale Bewertung von 6 durch 78 dividiert, da dies die Summe aus fehlerfreien und fehlerhaften Ressourcen ist.
6 / 78 = 0,0769
Die Multiplikation dieses Ergebnisses mit der Anzahl der fehlerfreien Ressourcen (4) ergibt die aktuelle Bewertung:
0,0769 * 4 = 0,31
Sicherheitsbewertung
Einzelnes Abonnement oder Connector
Gleichung zum Berechnen der Sicherheitsbewertung eines Abonnements

Sicherheitsbewertung eines einzelnen Abonnements, wenn alle Kontrollen aktiviert sind
In diesem Beispiel gibt es ein einzelnes Abonnement bzw. einen einzigen Connector, für den/das alle Sicherheitskontrollen verfügbar sind (potenzielle Höchstbewertung sind 60 Punkte). Die Bewertung gibt 28 Punkte der möglichen 60 Punkte an. Die verbleibenden 32 Punkte sind in den Zahlen für die potenzielle Bewertungssteigerung der Sicherheitskontrollen enthalten.
Liste der Kontrollen und potenziellen Bewertungssteigerung
Die gleiche Formel wird für einen Connector verwendet, nur dass das Wort „Abonnement“ durch das Wort „Connector“ ersetzt wird.
Sicherheitsbewertung
Mehrere Abonnements und Connectors
Gleichung zum Berechnen der Sicherheitsbewertung für mehrere Abonnements

Die kombinierte Bewertung für mehrere Abonnements und Connectors enthält eine Gewichtung für jedes Abonnement und jeden Connector. Die relativen Gewichtungen für Ihre Abonnements und Connectors werden von Defender für Cloud basierend auf Faktoren wie der Anzahl der Ressourcen bestimmt.
Die aktuelle Bewertung für die einzelnen Abonnements und Connectors wird auf die gleiche Weise berechnet wie für ein einziges Abonnement oder einen einzelnen Connector, aber dann wird die Gewichtung wie in der Gleichung dargestellt angewendet.
Bei der Anzeige mehrerer Abonnements und Connectors werden von der Sicherheitsbewertung alle Ressourcen in allen aktivierten Richtlinien ausgewertet und nach deren kombinierter Auswirkung auf die Höchstbewertung der einzelnen Sicherheitskontrollen gruppiert.
Sicherheitsbewertung für mehrere Abonnements, wenn alle Sicherheitskontrollen aktiviert sind
Die kombinierte Bewertung ist kein Durchschnittswert, sondern vielmehr die Auswertung des Status aller Ressourcen in allen Abonnements und Connectors.

Wenn Sie die Seite mit den Empfehlungen aufrufen und die potenziell verfügbaren Punkte addieren, werden Sie feststellen, dass es sich hierbei um die Differenz zwischen der aktuellen Bewertung (22) und der verfügbaren Höchstbewertung (58) handelt.

Welche Empfehlungen sind in den Berechnungen zur Sicherheitsbewertung enthalten?

Nur integrierte Empfehlungen, die Teil der Standardinitiative „Azure Security Benchmark“ sind, wirken sich auf die Sicherheitsbewertung aus. Empfehlungen, die als Vorschau gekennzeichnet sind, werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Sie sollten nach Möglichkeit weiterhin korrigiert werden, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen.

Vorschauempfehlungen werden markiert mit:

Verbessern Ihrer Sicherheitsbewertung

Zum Verbessern Ihrer Sicherheitsbewertung setzen Sie die Sicherheitsempfehlungen in Ihrer Empfehlungsliste um. Sie können jede Empfehlung manuell für jede Ressource korrigieren oder die Option Korrigieren (falls verfügbar) verwenden, um ein Problem schnell für mehrere Ressourcen zu beheben. Weitere Informationen finden Sie unter Umsetzen von Empfehlungen.

Sie können für die entsprechenden Empfehlungen auch Erzwingungs- und Ablehnungsoptionen konfigurieren, um Ihre Bewertung zu verbessern und sicherzustellen, dass Ihre Benutzer keine Ressourcen erstellen, die sich negativ auf Ihre Bewertung auswirken.

Sicherheitskontrollen und deren Empfehlungen

In der folgenden Tabelle sind die Sicherheitskontrollen in Microsoft Defender für Cloud aufgelistet. Für jede Sicherheitskontrolle ist die maximale Anzahl von Punkten angegeben, die Ihrer Sicherheitsbewertung hinzugefügt wird, wenn Sie alle in der Sicherheitskontrolle aufgeführten Empfehlungen für alle Ihre Ressourcen umsetzen.

Die Sicherheitsempfehlungen, die mit Defender für Cloud bereitgestellt werden, sind auf die verfügbaren Ressourcen in der Umgebung der jeweiligen Organisation zugeschnitten. Sie können Empfehlungen deaktivieren und bestimmte Ressourcen von einer Empfehlung ausschließen, um die Empfehlungen weiter anzupassen.

Die zugewiesenen Azure Policy-Initiativen sollten von jeder Organisation sorgfältig geprüft werden.

Tipp

Ausführliche Informationen zur Überprüfung und Bearbeitung von Initiativen finden Sie unter Verwalten von Sicherheitsrichtlinien.

Die Standardsicherheitsinitiative von Defender für Cloud, Azure Security Benchmark, basiert zwar auf branchenüblichen bewährten Methoden und Standards, es gibt jedoch Szenarien, in denen die unten aufgeführten integrierten Empfehlungen möglicherweise nicht uneingeschränkt für Ihre Organisation geeignet sind. Es ist manchmal erforderlich, die Standardinitiative anzupassen (ohne die Sicherheit zu beeinträchtigen). Dadurch wird sichergestellt, dass sie mit den Richtlinien Ihrer Organisation sowie mit Branchenstandards, gesetzlichen Standards und Benchmarks in Einklang steht.

Sicherheitsbewertung Sicherheitssteuerelement und Beschreibung Empfehlungen
10 MFA aktivieren: Defender für Cloud legt großen Wert auf die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA). Befolgen Sie diese Empfehlungen, um die Benutzer Ihrer Abonnements zu schützen.
Es gibt drei Möglichkeiten, MFA zu aktivieren und sich an die Empfehlungen zu halten: Sicherheitsstandards, die Zuweisung nach Benutzer und die Richtlinie für bedingten Zugriff. Weitere Informationen zu diesen Optionen finden Sie unter Verwalten der MFA-Erzwingung für Ihre Abonnements.		 – Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein
– Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein
8 Verwaltungsports schützen: Brute-Force-Angriffe zielen häufig auf Verwaltungsports ab. Verwenden Sie diese Empfehlungen, um Ihre Gefährdung mit Tools wie Just-In-Time-VM-Zugriff und Netzwerksicherheitsgruppen zu reduzieren. - VMs mit Internetzugang sollten mithilfe von Netzwerksicherheitsgruppen geschützt werden.
- Verwaltungsports virtueller Computer müssen mit der Just-In-Time-Netzwerkzugriffssteuerung geschützt werden
- Verwaltungsports sollten auf Ihren VMs geschlossen werden
6 Systemupdates anwenden: Werden Updates versäumt, bleiben Sicherheitsrisiken ungepatcht, und die Umgebungen werden anfällig für Angriffe. Befolgen Sie diese Empfehlungen, um die betriebliche Effizienz aufrechtzuerhalten, Sicherheitsrisiken zu verringern und eine stabilere Umgebung für Ihre Endbenutzer bereitzustellen. Für das Bereitstellen von Systemupdates können Sie die Updateverwaltungslösung verwenden, um Patches und Updates für Ihre Computer zu verwalten. - Log Analytics-Agent muss auf Linux-basierten Computern mit Azure Arc-Unterstützung installiert sein
- Log Analytics-Agent muss für VM-Skalierungsgruppen installiert sein
- Der Log Analytics-Agent sollte auf virtuellen Computern installiert sein
- Log Analytics-Agent muss auf Windows-basierten Computern mit Azure Arc-Unterstützung installiert sein
- Systemupdates für VM-Skalierungsgruppen sollten installiert werden
- Systemupdates müssen auf Ihren Computern installiert werden
- Auf Ihren Computern müssen Systemupdates installiert sein (unterstützt von Update Center)
6 Sicherheitsrisiken beheben: Defender für Cloud umfasst mehrere Überprüfungen zur Sicherheitsrisikobewertung, um Ihre Computer, Datenbanken und Containerregister auf Schwachstellen zu überprüfen, die Bedrohungsakteure möglicherweise nutzen. Befolgen Sie diese Empfehlungen, um diese Überprüfungen zu aktivieren und ihre Ergebnisse zu überprüfen.
Informieren Sie sich über das Scannen von Computern, SQL-Servern und Containerregistrierungen.		 – Für Azure Arc-fähige Kubernetes-Cluster sollte die Azure Policy-Erweiterung installiert sein
– Für Azure Kubernetes Service-Cluster sollte das Azure Policy Add-On für Kubernetes installiert sein
– Für Coderepositorys müssen Ergebnisse des Codescannens aufgelöst werden
– Für Coderepositorys müssen Ergebnisse des Dependabot-Scannens aufgelöst werden
– Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden
– Für Coderepositorys müssen Ergebnisse des Geheimnisscannens aufgelöst werden
- Containerimages dürfen nur aus vertrauenswürdigen Registrierungen bereitgestellt werden
- Images für die Containerregistrierung sollten Sicherheitsrisikoergebnisse korrigiert haben
- In Funktions-Apps sollten gefundene Sicherheitsrisiken behoben werden
- Kubernetes-Cluster sollten die Bereitstellung anfälliger Images verhindern
- Computer sollten über eine Lösung zur Sicherheitsrisikobewertung verfügen
- Ermittelte Sicherheitsrisiken für Computer müssen behoben werden
- In Container-Images sollten erkannte Sicherheitsrisiken behoben worden sein
4 Sicherheitskonfigurationen korrigieren: Falsch konfigurierte IT-Ressourcen haben ein höheres Angriffsrisiko. Befolgen Sie diese Empfehlungen, um die erkannten Fehlkonfigurationen in Ihrer gesamten Infrastruktur zu härten. – Für Azure Arc-fähige Kubernetes-Cluster sollte die Azure Policy-Erweiterung installiert sein
– Azure DevOps-Sicherheitsstatusergebnisse sollten behandelt werden
– Für Azure Kubernetes Service-Cluster sollte das Azure Policy Add-On für Kubernetes installiert sein
- Container sollten nur zulässige AppArmor-Profile verwenden
- Log Analytics-Agent muss auf Linux-basierten Computern mit Azure Arc-Unterstützung installiert sein
- Log Analytics-Agent muss für VM-Skalierungsgruppen installiert sein
- Der Log Analytics-Agent sollte auf virtuellen Computern installiert sein
- Log Analytics-Agent muss auf Windows-basierten Computern mit Azure Arc-Unterstützung installiert sein
- Computer müssen sicher konfiguriert sein
- Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden
- Für verwaltete SQL-Instanzen sollte die Sicherheitsrisikobeurteilung konfiguriert sein
- Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden
- Für SQL Server-Instanzen sollte die Sicherheitsrisikobeurteilung konfiguriert sein
- VM-Skalierungsgruppen (Virtual Machine Scale Sets, VMSS) müssen sicher konfiguriert sein
- Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Linux-Computer müssen entschärft werden (unterstützt von der Gastkonfiguration)
- Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Windows-Computer müssen entschärft werden (unterstützt von der Gastkonfiguration)
4 Zugriff und Berechtigungen verwalten: Ein zentraler Bestandteil von Sicherheitsprogrammen ist es, sicherzustellen, dass Ihre Benutzer über die für ihre Aufgaben erforderlichen Zugriffsberechtigungen verfügen, und gleichzeitig das Modell des geringstprivilegierten Zugriffs umzusetzen. Befolgen Sie diese Empfehlungen, um Ihre Identitäts- und Zugriffsanforderungen zu verwalten. - Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein
– Für Azure Arc-fähige Kubernetes-Cluster sollte die Azure Policy-Erweiterung installiert sein
– Azure Cosmos DB-Konten sollten Azure Active Directory als einzige Authentifizierungsmethode verwenden
– Für Azure Kubernetes Service-Cluster sollte das Azure Policy Add-On für Kubernetes installiert sein
– Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden
– Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden
- Container mit Rechteausweitung müssen vermieden werden
- Container mit Freigabe sensibler Hostnamespaces vermeiden
- Veraltete Konten müssen aus Abonnements entfernt werden
- Veraltete Konten mit Besitzerberechtigungen sollten aus Abonnements entfernt werden
- Externe Konten mit Besitzerberechtigungen sollten aus Abonnements entfernt werden
- Externe Konten mit Schreibberechtigungen müssen aus Abonnements entfernt werden
- Für Funktions-Apps muss „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein
– Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden
– Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden
- Erweiterung „Gastkonfiguration“ muss auf den Computern installiert sein
- Unveränderliches (schreibgeschütztes) Stammdateisystem für Container erzwingen
- Linux-Funktionen mit den niedrigsten Berechtigungen für Container erzwingen
- Die verwaltete Identität sollte in API-Apps verwendet werden
- Die verwaltete Identität sollte in Funktions-Apps verwendet werden
- Die verwaltete Identität sollte in Web-Apps verwendet werden
- Privilegierte Container müssen vermieden werden
- Rollenbasierte Zugriffssteuerung für Kubernetes Service verwenden
- Das Ausführen von Containern als Root-Benutzer muss vermieden werden
- Service Fabric-Cluster dürfen nur Azure Active Directory für die Clientauthentifizierung verwenden
- Der öffentliche Zugriff auf Speicherkonten muss untersagt sein
- Zum Einschränken des Knotenzugriffs über kompromittierte Container die Verwendung von Pod-HostPath-Volumeeinbindungen auf eine bekannte Liste einschränken
- VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden
4 Verschlüsselung gespeicherter Daten aktivieren: Befolgen Sie diese Empfehlungen, um sicherzustellen, dass Sie Fehlkonfigurationen im Hinblick auf den Schutz Ihrer gespeicherten Daten minimieren. - Für Service Fabric-Cluster muss die ClusterProtectionLevel-Eigenschaft auf EncryptAndSign festgelegt sein
- Für SQL-Datenbanken muss Transparent Data Encryption aktiviert sein
- Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln
4 Daten während der Übertragung verschlüsseln: Befolgen Sie diese Empfehlungen, um Daten zu schützen, die zwischen Komponenten, Speicherorten oder Programmen verschoben werden. Diese Daten sind anfällig für Man-in-the-Middle-Angriffe, Lauschangriffe und Session Hijacking. - Zugriff auf API-App nur über HTTPS gestatten
– Erzwingen einer SSL-Verbindung sollte für MySQL-Datenbankserver aktiviert sein
– Erzwingen einer SSL-Verbindung sollte für PostgreSQL-Datenbankserver aktiviert sein
- FTPS sollte in API-Apps erforderlich sein
- FTPS sollte in Funktions-Apps erforderlich sein
- FTPS sollte in Web-Apps erforderlich sein
- Zugriff auf Funktions-App nur über HTTPS gestatten
- Redis Cache sollte den Zugriff nur über SSL zulassen
- Für Speicherkonten muss die sichere Übertragung aktiviert sein
- TLS sollte auf die neueste Version für API-Apps aktualisiert werden
- TLS sollte auf die neueste Version für Funktions-Apps aktualisiert werden
- TLS sollte auf die neueste Version für Web-Apps aktualisiert werden
- Zugriff auf Webanwendung nur über HTTPS gestatten
4 Unbefugten Netzwerkzugriff einschränken: Azure bietet eine Suite von Tools, mit denen sichergestellt wird, dass Zugriffe in Ihrem Netzwerk die höchsten Sicherheitsstandards erfüllen.
Befolgen Sie diese Empfehlungen, um die Einstellungen für das adaptive Erhöhen des Netzwerkschutzes von Defender für Cloud zu verwalten, sicherzustellen, dass Sie Azure Private Link für alle relevanten PaaS-Dienste konfiguriert haben, Azure Firewall in Ihren virtuellen Netzwerken aktivieren und vieles mehr.		 - Auf VMs mit Internetausrichtung müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden
- Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind.
- App Configuration sollte eine private Verbindung verwenden.
– Für Azure Arc-fähige Kubernetes-Cluster sollte die Azure Policy-Erweiterung installiert sein
- Azure Cache for Redis sollte sich in einem virtuellen Netzwerk befinden.
- Azure Event Grid-Domänen sollten eine private Verbindung verwenden.
- Azure Event Grid-Themen sollten eine private Verbindung verwenden.
– Für Azure Kubernetes Service-Cluster sollte das Azure Policy Add-On für Kubernetes installiert sein
- Azure Machine Learning-Arbeitsbereiche sollten eine private Verbindung verwenden.
- Azure SignalR Service sollte eine private Verbindung verwenden.
- Azure Spring Cloud sollte Netzwerkinjektion verwenden.
- Containerregistrierungen sollten keinen uneingeschränkten Netzwerkzugriff zulassen.
- Containerregistrierungen sollten eine private Verbindung verwenden.
- CORS sollte nicht zulassen, dass jede Ressource auf API-Apps zugreift
- CORS darf nicht jeder Ressource Zugriff auf Funktions-Apps erteilen
- CORS sollte nicht zulassen, dass jede Ressource auf Webanwendungen zugreift
- Für Key Vault sollte eine Firewall aktiviert sein.
- VMs mit Internetzugang sollten mithilfe von Netzwerksicherheitsgruppen geschützt werden.
- IP-Weiterleitung für Ihre VM muss deaktiviert sein
- Server für die Kubernetes-API muss mit eingeschränktem Zugriff konfiguriert werden
- Für Key Vault sollte ein privater Endpunkt konfiguriert werden.
– Privater Endpunkt sollte für MariaDB-Server aktiviert sein
– Privater Endpunkt sollte für MySQL-Server aktiviert sein
– Privater Endpunkt sollte für PostgreSQL-Server aktiviert sein
- Öffentlicher Netzwerkzugriff sollte für MariaDB-Server deaktiviert sein.
- Öffentlicher Netzwerkzugriff sollte für MySQL-Server deaktiviert sein.
- Öffentlicher Netzwerkzugriff sollte für PostgreSQL-Server deaktiviert sein.
- Dienste dürfen nur an zulässigen Ports lauschen
- Das Speicherkonto sollte eine Private Link-Verbindung verwenden.
- Speicherkonten sollten den Netzwerkzugriff mithilfe von VNET-Regeln einschränken.
- Verwendung von Hostnetzwerken und -ports einschränken
- Virtuelle Netzwerke müssen durch Azure Firewall geschützt werden
- VM Image Builder-Vorlagen sollten eine private Verbindung verwenden.
3 Adaptive Anwendungssteuerung anwenden: Die adaptive Anwendungssteuerung ist eine intelligente, automatisierte End-to-End-Lösung, mit der Sie steuern können, welche Anwendungen auf Ihren Computern ausgeführt werden können. Sie trägt außerdem dazu bei, Ihre Computer gegen Malware zu schützen. - Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein
- Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden
- Log Analytics-Agent muss auf Linux-basierten Computern mit Azure Arc-Unterstützung installiert sein
- Der Log Analytics-Agent sollte auf virtuellen Computern installiert sein
- Log Analytics-Agent muss auf Windows-basierten Computern mit Azure Arc-Unterstützung installiert sein
2 Anwendungen vor DDoS-Angriffen schützen: Zu den erweiterten Netzwerksicherheitslösungen von Azure gehören Azure DDoS Protection, Azure Web Application Firewall und das Azure Policy-Add-On für Kubernetes. Befolgen Sie diese Empfehlungen, um sicherzustellen, dass Ihre Anwendungen mit diesen Tools und anderen geschützt sind. – Für Azure Arc-fähige Kubernetes-Cluster sollte die Azure Policy-Erweiterung installiert sein
- Azure DDoS Protection Standard muss aktiviert sein.
– Für Azure Kubernetes Service-Cluster sollte das Azure Policy Add-On für Kubernetes installiert sein
- Für Container müssen CPU- und Arbeitsspeicherlimits erzwungen werden
- Web Application Firewall (WAF) sollte für Application Gateway aktiviert sein.
- Web Application Firewall (WAF) muss für Azure Front Door Service aktiviert sein
2 Aktivieren von Endpoint Protection: Defender für Cloud überprüft die Endpunkte Ihrer Organisation auf aktive Lösungen zur Bedrohungserkennung und -reaktion, z. B. Microsoft Defender für Endpoint oder eine der wichtigen Lösungen, die in dieser Liste aufgeführt sind.
Wenn keine Lösung zur Endpunkterkennung und -reaktion (EDR) gefunden wird, können Sie diese Empfehlungen verwenden, um Microsoft Defender für Endpoint bereitzustellen (enthalten als Teil von Microsoft Defender für Server).
Andere Empfehlungen in diesem Steuerelement helfen Ihnen, den Log Analytics-Agent bereitzustellen und die Überwachung der Dateiintegrität zu konfigurieren.		 - Endpoint Protection-Integritätsprobleme auf den Computern müssen gelöst werden
- Endpoint Protection-Integritätsprobleme auf den Computern müssen gelöst werden
- Endpoint Protection-Integritätsprobleme in VM-Skalierungsgruppen sollten behoben werden
- Endpoint Protection muss auf den Computern installiert sein
- Endpoint Protection muss auf den Computern installiert sein
- Auf VM-Skalierungsgruppen (Virtual Machine Scale Sets, VMSS) muss Endpoint Protection installiert sein
- Endpoint Protection-Lösung auf virtuellen Computern installieren
- Log Analytics-Agent muss auf Linux-basierten Computern mit Azure Arc-Unterstützung installiert sein
- Log Analytics-Agent muss für VM-Skalierungsgruppen installiert sein
- Der Log Analytics-Agent sollte auf virtuellen Computern installiert sein
- Log Analytics-Agent muss auf Windows-basierten Computern mit Azure Arc-Unterstützung installiert sein
1 Überwachung und Protokollierung aktivieren: Detaillierte Protokolle sind ein wichtiger Bestandteil von Incidentuntersuchungen und vielen anderen Vorgängen zur Problembehandlung. Die Empfehlungen in diesem Steuerelement konzentrieren sich darauf, sicherzustellen, dass Sie Diagnoseprotokolle aktiviert haben, wo immer dies relevant ist. - Die Überwachung in SQL Server muss aktiviert werden
– In App Service müssen Diagnoseprotokolle aktiviert sein
- In Azure Data Lake Store müssen Diagnoseprotokolle aktiviert sein
- In Azure Stream Analytics müssen Diagnoseprotokolle aktiviert sein
- In Batch-Konten müssen Diagnoseprotokolle aktiviert sein
- In Data Lake Analytics müssen Diagnoseprotokolle aktiviert sein
- In Event Hub müssen Diagnoseprotokolle aktiviert sein
- In Key Vault müssen Diagnoseprotokolle aktiviert sein
- Diagnoseprotokolle in Kubernetes-Diensten sollten aktiviert sein.
- In Logic Apps müssen Diagnoseprotokolle aktiviert sein
- In den Suchdiensten müssen Diagnoseprotokolle aktiviert sein
- In Service Bus müssen Diagnoseprotokolle aktiviert sein
- In Virtual Machine Scale Sets müssen Diagnoseprotokolle aktiviert sein
0 Erweiterte Sicherheitsfeatures aktivieren: Verwenden Sie diese Empfehlungen, um einen der Pläne mit erweiterten Sicherheitsfeatures zu aktivieren. - Azure Arc-fähige Kubernetes-Cluster sollten die Defender-Erweiterung installiert haben
- Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein.
– Für Computer sollte die Überwachung der Dateiintegrität aktiviert sein
– Für GitHub-Repositorys muss das Codescannen aktiviert sein
– Für GitHub-Repositorys muss das Dependabot-Scannen aktiviert sein
– Für GitHub-Repositorys muss das Geheimnisscannen aktiviert sein
- Microsoft Defender für App Service muss aktiviert sein.
- Microsoft Defender für Azure SQL-Datenbankserver muss aktiviert sein
– Microsoft Defender für Container muss aktiviert sein
- Microsoft Defender für DNS muss aktiviert sein.
- Microsoft Defender für Key Vault sollte aktiviert sein
- Microsoft Defender für relationale Open-Source-Datenbanken muss aktiviert sein.
- Microsoft Defender für Resource Manager muss aktiviert sein.
- Microsoft Defender für Server muss aktiviert sein.
- Microsoft Defender für Server sollte in Arbeitsbereichen aktiviert sein.
- Microsoft Defender für SQL auf Computern muss für Arbeitsbereiche aktiviert sein.
- Microsoft Defender für SQL Server-Instanzen auf Computern muss aktiviert sein
- Microsoft Defender für Storage muss aktiviert sein.
0 Best Practices für die Sicherheit implementieren: Dieses Steuerelement hat keine Auswirkungen auf Ihre Sicherheitsbewertung. Es handelt es sich um eine Sammlung wichtiger Sicherheitsempfehlungen für Ihre Organisation, aber wir sind der Meinung, dass sie nicht Teil der Bewertung Ihrer Gesamtpunktzahl sein sollten. - [Bei Bedarf aktivieren] Azure Cosmos DB-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.
- [Bei Bedarf aktivieren] Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
- [Bei Bedarf aktivieren] Cognitive Services-Konten müssen eine Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel (CMK) aktivieren
- [Bei Bedarf aktivieren] Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
- [Bei Bedarf aktivieren] MySQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
- [Bei Bedarf aktivieren] PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
- [Bei Bedarf aktivieren] SQL Managed Instance-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
- [Bei Bedarf aktivieren] SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
- [Bei Bedarf aktivieren] Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel (CMK) verwenden
- Für Abonnements dürfen maximal 3 Besitzer festgelegt werden
- Der Zugriff auf Speicherkonten mit Firewall- und VNET-Konfigurationen sollte eingeschränkt werden
– Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein
- In den Advanced Data Security-Einstellungen der verwalteten SQL Server-Instanz müssen alle Advanced Threat Protection-Typen aktiviert werden
- In den Advanced Data Security-Einstellungen der SQL Server-Instanz müssen alle Advanced Threat Protection-Typen aktiviert werden
- API Management-Dienste müssen ein virtuelles Netzwerk verwenden
– Die Aufbewahrung der Überprüfung für SQL-Server sollte auf mindestens 90 Tage festgelegt sein
- Die automatische Bereitstellung des Log Analytics-Agents sollte für Abonnements aktiviert sein
- Automation-Kontovariablen müssen verschlüsselt werden
– Azure Backup sollte für virtuelle Computer aktiviert sein
- Azure Cosmos DB-Konten müssen über Firewallregeln verfügen
- Cognitive Services-Konten müssen die Datenverschlüsselung aktivieren
- Netzwerkzugriff auf Cognitive Services-Konten muss eingeschränkt werden
- Cognitive Services-Konten müssen kundeneigenen Speicher verwenden oder die Datenverschlüsselung aktivieren
- Containerhosts müssen sicher konfiguriert sein
- Die Standard-IP-Filterrichtlinie sollte auf „Verweigern“ festgelegt werden
- In IoT Hub müssen Diagnoseprotokolle aktiviert sein
- E-Mail-Benachrichtigungen bei Warnungen mit hohem Schweregrad sollten aktiviert sein.
- Das Senden von E-Mail-Benachrichtigungen an den Abonnementbesitzers bei Warnungen mit hohem Schweregrad sollte aktiviert sein.
- Für die API-App muss „Clientzertifikate (eingehende Clientzertifikate)“ auf „Ein“ festgelegt sein
- Externe Konten mit Leseberechtigungen müssen aus den Abonnements entfernt werden
– Georedundante Sicherung sollte für Azure Database for MariaDB aktiviert sein
– Georedundante Sicherung sollte für Azure Database for MySQL aktiviert sein
– Georedundante Sicherung sollte für Azure Database for PostgreSQL aktiviert sein
– Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden
- Die Gastnachweiserweiterung sollte auf unterstützten Linux-VM-Skalierungsgruppen installiert werden.
- Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein
- Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein
- Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein
- Erweiterung „Gastkonfiguration“ muss auf den Computern installiert sein
- Identische Anmeldeinformationen für die Authentifizierung
- Großer IP-Adressbereich für IP-Filterregel
- Java sollte auf die neueste Version für API-Apps aktualisiert werden
- Java sollte auf die neueste Version für Funktions-Apps aktualisiert werden
- Java sollte auf die neueste Version für Web-Apps aktualisiert werden
- Key Vault-Schlüssel müssen ein Ablaufdatum aufweisen
- Key Vault-Geheimnisse müssen ein Ablaufdatum aufweisen
- Für Schlüsseltresore sollte der Löschschutz aktiviert sein.
- Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein.
- Auf Kubernetes-Cluster darf nur über HTTPS zugegriffen werden.
- Kubernetes-Cluster müssen die automatische Bereitstellung von API-Anmeldeinformationen deaktivieren
- Kubernetes-Cluster sollten keine CAPSYSADMIN-Sicherheitsfunktionen gewähren
- Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden
- Virtuelle Linux-Computer sollten die Überprüfung der Kernelmodulsignatur erzwingen
- Virtuelle Linux-Computer dürfen nur signierte und vertrauenswürdige Startkomponenten verwenden
- Virtuelle Linux-Computer sollten den sicheren Start verwenden
- Computer müssen neu gestartet werden, um Aktualisierungen an der Sicherheitskonfiguration anzuwenden
- Auf Computern sollten Ports geschlossen sein, die Angriffsvektoren zeigen
- Microsoft Defender für SQL muss für nicht geschützte Azure SQL Server aktiviert sein
- Microsoft Defender für SQL sollte für nicht geschützte verwaltete SQL-Instanzen aktiviert sein
- Network Watcher muss aktiviert werden
- VMs ohne Internetzugriff sollten mit Netzwerksicherheitsgruppen geschützt werden
– Übermäßig bereitgestellte Identitäten in Abonnements sollten untersucht werden, um den Index für schleichende Berechtigungsausweitung (Permission Creep Index, PCI) zu reduzieren
- PHP sollte auf die neueste Version für API-Apps aktualisiert werden
- PHP sollte auf die neueste Version für Web-Apps aktualisiert werden
- Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein
- Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein
- Zugriff über öffentliche Netzwerke für Cognitive Services-Konten deaktivieren
- Python sollte auf die neueste Version für API-Apps aktualisiert werden
- Python sollte auf die neueste Version für Funktions-Apps aktualisiert werden
- Python sollte auf die neueste Version für Web-Apps aktualisiert werden
- Remotedebuggen muss für API-App deaktiviert sein
- Remotedebuggen muss für Funktions-Apps deaktiviert sein
- Remotedebuggen muss für Webanwendungen deaktiviert sein
- Für unterstützte Windows-VMs muss der sichere Neustart aktiviert werden
- Für SQL Server sollte ein Azure Active Directory-Administrator bereitgestellt werden
- Speicherkonten müssen zu neuen Azure Resource Manager-Ressourcen migriert werden
- Subnetze müssen einer Netzwerksicherheitsgruppe zugeordnet werden
- In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein.
- Den Abonnements muss mehr als ein Besitzer zugewiesen sein
- In Azure Key Vault gespeicherte Zertifikate dürfen nicht länger als 12 Monate gültig sein
- Der Gastnachweisstatus der virtuellen Computer sollte fehlerfrei sein
- VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden
- VMs müssen zu neuen Azure Resource Manager-Ressourcen migriert werden
- Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden
– Web-Apps sollten ein SSL-Zertifikat für alle eingehenden Anforderungen anfordern
- Windows Defender Exploit Guard muss auf den Computern aktiviert sein
- Windows-Webserver müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein

Nächste Schritte

In diesem Artikel wurden die Sicherheitsbewertung und die darin enthaltenen Sicherheitskontrollen beschrieben.

Zugreifen auf Ihre Sicherheitsbewertung und Nachverfolgen dieser Bewertung

Weitere Informationen finden Sie in den folgenden Artikeln: