Teilen über


Steuerungszuordnung des Blaupausenbeispiels für „ISM PROTECTED der australischen Regierung“

Wichtig

Am 11. Juli 2026 läuft Blueprints (Vorschau) aus. Migrieren Sie Ihre vorhandenen Blaupausendefinitionen und -zuweisungen zu Vorlagenspezifikationen und Bereitstellungsstapeln. Blaupausenartefakte müssen in ARM-JSON-Vorlagen oder Bicep-Dateien konvertiert werden, die zum Definieren von Bereitstellungsstapeln verwendet werden. Informationen zum Erstellen eines Artefakts als ARM-Ressource finden Sie unter:

In diesem Artikel wird beschrieben, wie das Blaupausenbeispiel „ISM PROTECTED der australischen Regierung“ von Azure Blueprints den ISM PROTECTED-Steuerungen zugeordnet ist. Weitere Informationen zu den Steuerungen finden Sie unter ISM PROTECTED.

Für die ISM PROTECTED-Steuerungen gelten die folgenden Zuordnungen. Über den rechten Navigationsbereich können Sie direkt zu einer bestimmten Steuerungszuordnung springen. Viele der zugeordneten Steuerungen werden mit einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiative öffnen Sie Richtlinie im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend die integrierte Richtlinieninitiative [Vorschau]: ISM PROTECTED-Steuerungen der australischen Regierung überwachen und spezifische VM-Erweiterungen zur Unterstützung von Überwachungsanforderungen bereitstellen, und wählen Sie sie aus.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtlinien selbst und gewährleistet nicht die vollständige Konformität mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Steuerungen und Azure Policy-Definitionen für dieses Konformitätsblaupausenbeispiel können sich im Laufe der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

Standorteinschränkungen

Mit dieser Blaupause können Sie den Standort für die Bereitstellung aller Ressourcen und Ressourcengruppen auf „Australien, Mitte“, „Australien, Mitte 2“, „Australien, Osten“ und „Australien, Südosten“ beschränken, indem Sie die folgenden Azure Policy-Definitionen zuweisen:

  • Zulässige Standorte (hartcodiert für „Australien, Mitte“, „Australien, Mitte 2“, „Australien, Osten“ und „Australien, Südosten“)
  • Zulässige Standorte für Ressourcengruppen (hartcodiert für „Australien, Mitte“, „Australien, Mitte 2“, „Australien, Osten“ und „Australien, Südosten“)

Richtlinien zur Sicherheit des Personals: Zugriff auf Systeme und deren Ressourcen

0414 Personal, dem Zugriff auf ein System und die zugehörigen Ressourcen gewährt wird, ist eindeutig identifizierbar

  • MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein.
  • MFA sollte für Konten mit Schreibrechten für Ihr Abonnement aktiviert werden
  • MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein

1503 Standardzugriff auf Systeme, Anwendungen und Datenrepositorys ist auf die Berechtigungen beschränkt, die vom Personal für dessen Aufgaben benötigt werden

  • Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein.
  • Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein.
  • Überwachungsergebnisse von Windows-VMs anzeigen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält
  • Voraussetzungen für die Überwachung von Windows-VMs bereitstellen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält

1507 Privilegierter Zugriff auf Systeme, Anwendungen und Datenrepositorys wird überprüft, wenn dieser erstmalig angefordert wird, und dann mindestens jährlich einer erneuten Überprüfung unterzogen

  • Überwachungsergebnisse von Windows-VMs anzeigen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält
  • Voraussetzungen für die Überwachung von Windows-VMs bereitstellen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält

1508 Privilegierter Zugriff auf Systeme, Anwendungen und Datenrepositorys ist auf die Berechtigungen beschränkt, die vom Personal für dessen Aufgaben benötigt werden

  • Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein.
  • Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein.
  • Überwachungsergebnisse von Windows-VMs anzeigen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält
  • Voraussetzungen für die Überwachung von Windows-VMs bereitstellen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält
  • Die Just-In-Time-Netzwerkzugriffssteuerung sollte auf virtuelle Computer angewendet werden.

0415 Die Nutzung von gemeinsamen Benutzerkonten wird streng kontrolliert, und Personal, das diese Konten verwendet, ist eindeutig identifizierbar

  • Überwachungsergebnisse von Windows-VMs anzeigen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält
  • Voraussetzungen für die Überwachung von Windows-VMs bereitstellen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält

0445 Privilegierten Benutzern wird ein dediziertes privilegiertes Konto zugewiesen, das ausschließlich für Aufgaben bestimmt ist, für die privilegierter Zugriff erforderlich ist

  • Überwachungsergebnisse von Windows-VMs anzeigen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält
  • Voraussetzungen für die Überwachung von Windows-VMs bereitstellen, bei denen die Gruppe „Administratoren“ beliebige der angegebenen Mitglieder enthält

0430 Zugriff auf Systeme, Anwendungen und Datenrepositorys wird an dem Tag entfernt oder ausgesetzt, an dem für Personal kein legitimer Zugriff mehr erforderlich ist

  • Veraltete Konten sollten aus Ihrem Abonnement entfernt werden.
  • Veraltete Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden.

0441 Wenn für Personal temporärer Zugriff auf ein System gewährt wird, werden effektive Sicherheitskontrollen installiert, um den Zugriff ausschließlich auf Informationen zu beschränken, die für die Erledigung der Aufgaben benötigt werden

  • Externe Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden.
  • Externe Konten mit Schreibberechtigungen sollten aus Ihrem Abonnement entfernt werden.
  • Veraltete Konten sollten aus Ihrem Abonnement entfernt werden.
  • Veraltete Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden.

Richtlinien für die Systemhärtung: Härtung des Betriebssystems

1407 Für Standardbetriebsumgebungen (Standard Operating Environments, SOEs) wird die aktuelle Version (N) oder die Version N-1 eines Betriebssystems verwendet

  • Systemupdates sollten auf Ihren Computern installiert sein.
  • Systemupdates für VM-Skalierungsgruppen sollten installiert werden.

0380 Nicht benötigte Konten, Software, Komponenten, Dienste und Funktionen von Betriebssystemen werden entfernt oder deaktiviert

  • Veraltete Konten sollten aus Ihrem Abonnement entfernt werden.
  • Veraltete Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden.

1490 Eine Lösung für das Whitelisting von Anwendungen wird auf allen Servern implementiert, um die Ausführung von ausführbaren Dateien, Softwarebibliotheken, Skripts und Installationsprogrammen auf eine genehmigte Gruppe zu beschränken

  • Die adaptive Anwendungssteuerung sollte auf virtuellen Computern aktiviert werden.

1417 Antivirensoftware wird auf Arbeitsstationen und Servern implementiert und wie folgt konfiguriert: aktivierte Erkennung auf Signaturbasis und Einstellung auf eine hohe Ebene, Erkennung auf Heuristikbasis und Einstellung auf eine hohe Ebene, Überprüfung von Erkennungssignaturen auf Aktualität und mindestens tägliche Aktualisierung, Konfiguration von automatischen regelmäßigen Scans für alle fest installierten Datenträger und Wechselmedien

  • Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden
  • Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein.
  • Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen

Richtlinien für die Systemhärtung: Härtung der Authentifizierung

1546 Benutzer werden authentifiziert, bevor ihnen Zugriff auf ein System und die zugehörigen Ressourcen gewährt wird

  • Nicht eingeschränkten Netzwerkzugriff auf Speicherkonten überwachen
  • Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden.
  • Überwachungsergebnisse von Linux-VMs anzeigen, die Remoteverbindungen über Konten ohne Kennwörter zulassen
  • Erforderliche Komponenten zum Überwachen von Linux-VMs bereitstellen, die Remoteverbindungen über Konten ohne Kennwörter zulassen
  • Überwachungsergebnisse von Linux-VMs anzeigen, die Konten ohne Kennwörter verwenden
  • Erforderliche Komponenten für die Überwachung von Linux-VMs bereitstellen, die Konten ohne Kennwörter verwenden

0974 Mehrstufige Authentifizierung wird verwendet, um Standardbenutzer zu authentifizieren

  • MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein

1173 Mehrstufige Authentifizierung wird verwendet, um alle privilegierten Benutzer und alle anderen Vertrauenspositionen zu authentifizieren

  • MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein.
  • MFA sollte für Konten mit Schreibrechten für Ihr Abonnement aktiviert werden

0421 Passphrases, die für die einstufige Authentifizierung verwendet werden, verfügen über mindestens 14 Zeichen und eine Komplexität, die idealerweise vier zufällige Wörter umfasst

  • Überwachungsergebnisse aus Windows-VM-Konfigurationen in „Sicherheitseinstellungen – Kontorichtlinien“ anzeigen
  • Erforderliche Komponenten für die Überwachung von Windows-VM-Konfigurationen in „Sicherheitseinstellungen – Kontorichtlinien“ bereitstellen

Richtlinien für die Systemverwaltung: Systemverwaltung

1384 Mehrstufige Authentifizierung wird verwendet, um Benutzer bei jeder Durchführung von privilegierten Aktionen zu authentifizieren

  • MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein.
  • MFA sollte für Konten mit Schreibrechten für Ihr Abonnement aktiviert werden
  • MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein

1386 Verwaltungsdatenverkehr darf nur aus Netzwerkzonen stammen, die zum Verwalten von Systemen und Anwendungen genutzt werden

  • Die Just-In-Time-Netzwerkzugriffssteuerung sollte auf virtuelle Computer angewendet werden.
  • Remotedebuggen sollte für API-Apps deaktiviert sein.
  • Remotedebuggen sollte für Funktions-Apps deaktiviert sein.
  • Remotedebuggen sollte für Webanwendungen deaktiviert sein.

Richtlinien für die Systemverwaltung: Systempatching

1144 Sicherheitsrisiken in Anwendungen und Treibern, die eine extrem hohe Risikoeinstufung aufweisen, werden innerhalb von 48 Stunden, nachdem sie von Anbietern, unabhängigen Dritten oder Systemmanagern oder -benutzern identifiziert werden, gepatcht, per Update behoben oder beseitigt

  • Sicherheitsrisiken in SQL-Datenbanken sollten beseitigt werden.
  • Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein.
  • Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren
  • Sicherheitsrisikobewertung für Computer muss aktiviert sein.
  • Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden.
  • Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden.
  • Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.
  • Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden.
  • Die Einstellungen für die Sicherheitsrisikobewertung für SQL Server sollten eine E-Mail-Adresse für den Empfang von Überprüfungsberichten enthalten.

0940 Sicherheitsrisiken in Anwendungen und Treibern, die eine hohe Risikoeinstufung aufweisen, werden innerhalb von zwei Wochen, nachdem sie von Anbietern, unabhängigen Dritten oder Systemmanagern oder -benutzern identifiziert werden, gepatcht, per Update behoben oder beseitigt

  • Sicherheitsrisiken in SQL-Datenbanken sollten beseitigt werden.
  • Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein.
  • Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren
  • Die Sicherheitsrisikobewertung muss auf VMs aktiviert sein
  • Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden.
  • Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden.
  • Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.
  • Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden.
  • Die Einstellungen für die Sicherheitsrisikobewertung für SQL Server sollten eine E-Mail-Adresse für den Empfang von Überprüfungsberichten enthalten.

1472 Sicherheitsrisiken in Anwendungen und Treibern, die eine mittlere oder niedrige Risikoeinstufung aufweisen, werden innerhalb von einem Monat, nachdem sie von Anbietern, unabhängigen Dritten oder Systemmanagern oder -benutzern identifiziert werden, gepatcht, per Update behoben oder beseitigt

  • Sicherheitsrisiken in SQL-Datenbanken sollten beseitigt werden.
  • Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein.
  • Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren
  • Die Sicherheitsrisikobewertung muss auf VMs aktiviert sein
  • Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden.
  • Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden.
  • Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.
  • Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden.
  • Die Einstellungen für die Sicherheitsrisikobewertung für SQL Server sollten eine E-Mail-Adresse für den Empfang von Überprüfungsberichten enthalten.

1494 Sicherheitsrisiken in Betriebssystemen und Firmware, die eine extrem hohe Risikoeinstufung aufweisen, werden innerhalb von 48 Stunden, nachdem sie von Anbietern, unabhängigen Dritten oder Systemmanagern oder -benutzern identifiziert werden, gepatcht, per Update behoben oder beseitigt

  • Sicherheitsrisiken in SQL-Datenbanken sollten beseitigt werden.
  • Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein.
  • Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren
  • Die Sicherheitsrisikobewertung muss auf VMs aktiviert sein
  • Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden.
  • Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden.
  • Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.
  • Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden.
  • Die Einstellungen für die Sicherheitsrisikobewertung für SQL Server sollten eine E-Mail-Adresse für den Empfang von Überprüfungsberichten enthalten.

1495 Sicherheitsrisiken in Betriebssystemen und Firmware, die eine hohe Risikoeinstufung aufweisen, werden innerhalb von zwei Wochen, nachdem sie von Anbietern, unabhängigen Dritten oder Systemmanagern oder -benutzern identifiziert werden, gepatcht, per Update behoben oder beseitigt

  • Sicherheitsrisiken in SQL-Datenbanken sollten beseitigt werden.
  • Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein.
  • Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren
  • Die Sicherheitsrisikobewertung muss auf VMs aktiviert sein
  • Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden.
  • Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden.
  • Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.
  • Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden.
  • Die Einstellungen für die Sicherheitsrisikobewertung für SQL Server sollten eine E-Mail-Adresse für den Empfang von Überprüfungsberichten enthalten.

1496 Sicherheitsrisiken in Betriebssystemen und Firmware, die eine mittlere oder niedrige Risikoeinstufung aufweisen, werden innerhalb von einem Monat, nachdem sie von Anbietern, unabhängigen Dritten oder Systemmanagern oder -benutzern identifiziert werden, gepatcht, per Update behoben oder beseitigt

  • Sicherheitsrisiken in SQL-Datenbanken sollten beseitigt werden.
  • Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein.
  • Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren
  • Die Sicherheitsrisikobewertung muss auf VMs aktiviert sein
  • Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden.
  • Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden.
  • Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.
  • Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden.
  • Die Einstellungen für die Sicherheitsrisikobewertung für SQL Server sollten eine E-Mail-Adresse für den Empfang von Überprüfungsberichten enthalten.

Richtlinien für die Systemverwaltung: Datensicherung und -wiederherstellung

1511 Sicherungen von wichtigen Informationen, Software und Konfigurationseinstellungen werden mindestens täglich durchgeführt

  • Überwachen von virtuellen Computern ohne konfigurierte Notfallwiederherstellung

Richtlinien für die Systemüberwachung: Ereignisprotokollierung und -überwachung

1405 Eine zentralisierte Protokollierungseinrichtung wird implementiert, und die Systeme werden so konfiguriert, dass Ereignisprotokolle nach dem Eintreten eines Ereignisses so schnell wie möglich in der zentralisierten Protokollierungseinrichtung gespeichert werden

  • Azure-Abonnements benötigen ein Protokollprofil für das Aktivitätsprotokoll

0582 Für Betriebssysteme werden die folgenden Ereignisse protokolliert: Zugriff auf wichtige Daten und Prozesse, Anwendungsabstürze und alle Fehlermeldungen, versuchte Nutzung von besonderen Privilegien, Änderungen von Konten, Änderungen von Sicherheitsrichtlinien, Änderungen von Systemkonfigurationen, DNS- (Domain Name System) und HTTP-Anforderungen (Hypertext Transfer Protocol), fehlgeschlagene Zugriffsversuche auf Daten und Systemressourcen, Dienstausfälle und -neustarts, Starten und Herunterfahren des Systems, Übertragung von Daten auf externe Medien, Benutzer- oder Gruppenverwaltung, Nutzung von besonderen Privilegien

  • [Vorschau]: Bereitstellung des Log Analytics-Agents überwachen – VM-Image (Betriebssystem) nicht aufgelistet
  • Bereitstellung des Log Analytics-Agents in VM-Skalierungsgruppen überwachen – VM-Image (Betriebssystem) nicht aufgelistet
  • Überwachen des Log Analytics-Arbeitsbereichs für VM – Berichtskonflikt
  • Überwachen der Diagnoseeinstellung

1537 Für Datenbanken werden die folgenden Ereignisse protokolliert: Zugriff auf besonders wichtige Informationen, Hinzufügung neuer Benutzer, Benutzer mit speziellen Privilegien, Abfragen mit Kommentaren, Abfragen mit mehreren eingebetteten Abfragen, Warnungen oder Fehler für Abfragen oder Datenbanken, Versuche zur Rechteerweiterung, erfolgreiche und nicht erfolgreiche Zugriffsversuche, Änderungen der Datenbankstruktur, Änderungen von Benutzerrollen oder Datenbankberechtigungen, Aktionen von Datenbankadministratoren, Datenbankan- und -abmeldungen, Änderungen von Daten, Verwendung von ausführbaren Befehlen

  • Advanced Data Security muss für Ihre SQL-Server aktiviert werden.
  • Überwachen der Diagnoseeinstellung
  • Advanced Data Security muss für Ihre verwalteten SQL-Instanzen aktiviert werden.

Richtlinien für die Systemüberwachung: Verwaltung von Sicherheitsrisiken

0911 Sicherheitsrisikobewertungen und Penetrationstests werden von entsprechend geschultem Personal vor der Bereitstellung eines Systems, nach einer signifikanten Änderung eines Systems und mindestens jährlich oder wie vom Systembesitzer vorgegeben durchgeführt

  • Sicherheitsrisiken in SQL-Datenbanken sollten beseitigt werden.
  • Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein.
  • Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren
  • Die Sicherheitsrisikobewertung muss auf VMs aktiviert sein
  • Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden.
  • Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden.
  • Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.
  • Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden.

Richtlinien für Datenbanksystemverwaltung: Datenbankserver

1425 Festplatten von Datenbankservern werden per vollständiger Datenträgerverschlüsselung verschlüsselt

  • Die Datenträgerverschlüsselung sollte auf virtuelle Computer angewendet werden.
  • Transparent Data Encryption für SQL-Datenbanken sollte aktiviert werden.

1277 Informationen, die zwischen Datenbankservern und Webanwendungen ausgetauscht werden, werden verschlüsselt

  • Nur sichere Verbindungen mit Ihrer Redis Cache-Instanz sollten aktiviert werden
  • Sichere Übertragung in Speicherkonten sollte aktiviert werden.
  • Überwachungsergebnisse von Windows-Webservern anzeigen, die keine sicheren Kommunikationsprotokolle verwenden
  • Erforderliche Komponenten zum Überwachen von Windows-Webservern bereitstellen, die keine sicheren Kommunikationsprotokolle verwenden

Richtlinien für die Datenbanksystemverwaltung: Software für Datenbankverwaltungssystem

1260 Datenbankadministrator-Standardkonten werden deaktiviert oder umbenannt, oder die zugehörigen Passphrases werden geändert

  • Ein Azure Active Directory-Administrator sollte für SQL-Server-Instanzen bereitgestellt werden

1262 Datenbankadministratoren verfügen über eindeutige und identifizierbare Konten

  • Ein Azure Active Directory-Administrator sollte für SQL-Server-Instanzen bereitgestellt werden

1261 Datenbankadministrator-Konten werden nicht über verschiedene Datenbanken hinweg gemeinsam genutzt

  • Ein Azure Active Directory-Administrator sollte für SQL-Server-Instanzen bereitgestellt werden

1263 Datenbankadministrator-Konten werden ausschließlich für Verwaltungsaufgaben verwendet, und für allgemeine Interaktionen mit der Datenbank werden Standard-Datenbankkonten genutzt

  • Ein Azure Active Directory-Administrator sollte für SQL-Server-Instanzen bereitgestellt werden

1264 Der Datenbankadministrator-Zugriff ist auf definierte Rollen beschränkt, und es werden keine Konten mit Standardverwaltungsberechtigungen oder allen Berechtigungen verwendet

  • Ein Azure Active Directory-Administrator sollte für SQL-Server-Instanzen bereitgestellt werden

Richtlinien für die Verwendung von Kryptografie: Grundlagen der Kryptografie

0459 Für Verschlüsselungssoftware, die für ruhende Daten genutzt wird, wird die vollständige Datenträgerverschlüsselung implementiert, oder die Teilverschlüsselung, wobei Zugriffssteuerungen nur das Schreiben auf die verschlüsselte Partition ermöglichen

  • Die Datenträgerverschlüsselung sollte auf virtuelle Computer angewendet werden.

Richtlinien für die Verwendung von Kryptografie: Transport Layer Security

1139 Es wird nur die neueste Version von TLS verwendet

  • In Ihrer API-App sollte die neueste TLS-Version verwendet werden.
  • In Ihrer Web-App sollte die neueste TLS-Version verwendet werden.
  • In Ihrer Funktions-App sollte die neueste TLS-Version verwendet werden.
  • Erforderliche Komponenten zum Überwachen von Windows-Webservern bereitstellen, die keine sicheren Kommunikationsprotokolle verwenden
  • Überwachungsergebnisse von Windows-Webservern anzeigen, die keine sicheren Kommunikationsprotokolle verwenden

Richtlinien für Datenübertragung und Inhaltsfilterung: Inhaltsfilterung

1288 Antivirenscans werden mit mehreren unterschiedlichen Überprüfungsengines für den gesamten Inhalt durchgeführt

  • Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden
  • Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein.
  • Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen

Richtlinien für Datenübertragung und Inhaltsfilterung: Entwicklung von Webanwendungen

1552 Der gesamte Inhalt von Webanwendungen wird ausschließlich per HTTPS bereitgestellt

  • Zugriff auf Funktions-App nur über HTTPS gestatten
  • Auf API-Apps sollte nur über HTTPS zugegriffen werden können
  • Zugriff auf Webanwendung nur über HTTPS gestatten
  • Nur sichere Verbindungen mit Ihrer Redis Cache-Instanz sollten aktiviert werden

1424 Webbrowserbasierte Sicherheitskontrollen werden für Webanwendungen implementiert, um sowohl Webanwendungen als auch die zugehörigen Benutzer zu schützen

  • CORS sollte nicht jeder Ressource Zugriff auf Ihre Webanwendungen erteilen.

Richtlinien für die Netzwerkverwaltung: Netzwerkentwurf und -konfiguration

0520 Netzwerkzugriffssteuerungen werden für Netzwerke implementiert, um Verbindungen mit nicht autorisierten Netzwerkgeräten zu verhindern

  • Nicht eingeschränkten Netzwerkzugriff auf Speicherkonten überwachen

1182 Netzwerkzugriffssteuerungen werden implementiert, um den Datenverkehr in und zwischen Netzwerksegmenten nur auf die Daten zu beschränken, die für geschäftliche Zwecke benötigt werden

  • Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.
  • Nicht eingeschränkten Netzwerkzugriff auf Speicherkonten überwachen
  • Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden.

Richtlinien für die Netzwerkverwaltung: Dienstkontinuität für Onlinedienste

1431 Strategien zur Verhinderung und Entschärfung von Denial-of-Service-Angriffen werden mit Dienstanbietern in Bezug auf die folgenden Aspekte vereinbart: Fähigkeit, Denial-of-Service-Angriffe zu überstehen, Kosten, die für Kunden aufgrund von Denial-of-Service-Angriffen ggf. entstehen können, Schwellenwerte für die Benachrichtigung von Kunden oder Deaktivierung der Onlinedienste bei Denial-of-Service-Angriffen, vorab genehmigte Aktionen, die bei Denial-of-Service-Angriffen durchgeführt werden können, Vereinbarungen zur Verhinderung von Denial-of-Service-Angriffen mit Upstream-Anbietern, um schädlichen Datenverkehr so früh wie möglich zu blockieren

  • DDoS Protection sollte aktiviert sein.

Hinweis

Die Verfügbarkeit spezifischer Azure Policy-Definitionen kann in Azure Government und anderen nationalen Clouds variieren.

Nächste Schritte

Weitere Artikel zu Blaupausen und ihrer Nutzung: