Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Funktionen an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark und die zugehörigen Anleitungen für Funktionen definiert sind.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Hinweis
Features , die nicht für Funktionen gelten, wurden ausgeschlossen. Informationen dazu, wie Funktionen vollständig dem Microsoft Cloud Security-Benchmark zugeordnet sind, finden Sie in der vollständigen Sicherheitsbasisplanzuordnungsdatei für Funktionen.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Funktionen mit hohem Einfluss zusammen, was zu erhöhten Sicherheitsaspekten führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Rechnen, Web |
| Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Richtig |
| Speichert ruhende Kundeninhalte | Richtig |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Features
Integration virtueller Netzwerke
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Bereitstellen des Diensts in einem virtuellen Netzwerk. Weisen Sie der Ressource (sofern zutreffend) private IPs zu, es sei denn, es gibt einen starken Grund, öffentliche IPs direkt der Ressource zuzuweisen.
Hinweis: Netzwerkfeatures werden vom Dienst verfügbar gemacht, müssen jedoch für die Anwendung konfiguriert werden. Standardmäßig ist der Zugriff auf öffentliche Netzwerke zulässig.
Referenz: Azure Functions-Netzwerkoptionen
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisungen der Netzwerksicherheitsgruppen in seinen Subnetzen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Verwenden von Netzwerksicherheitsgruppen (Network Security Groups, NSG) zum Einschränken oder Überwachen des Datenverkehrs nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. verhindern, dass auf Verwaltungsports von nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, aber datenverkehr von virtuellen Netzwerken und Azure Load Balancers zulassen.
Referenz: Azure Functions-Netzwerkoptionen
NS-2: Sichern von Clouddiensten mit Netzwerksteuerelementen
Features
Azure Private Link
Beschreibung: Diensteigene IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Bereitstellen privater Endpunkte für alle Azure-Ressourcen, die das Feature "Private Verknüpfung" unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Referenz: Azure Functions-Netzwerkoptionen
Öffentliches Netzwerkzugriff deaktivieren
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters "Öffentlichen Netzwerkzugriff deaktivieren". Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Featurehinweise: Azure Functions kann mit privaten Endpunkten konfiguriert werden, aber es gibt derzeit keinen einzigen Umschalter zum Deaktivieren des öffentlichen Netzwerkzugriffs, bei dem keine privaten Endpunkte konfiguriert werden.
Konfigurationsleitfaden: Deaktivieren Sie den öffentlichen Netzwerkzugriff entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder eines Umschalters für den öffentlichen Netzwerkzugriff.
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Featurehinweise: Kundeneigene Endpunkte können so konfiguriert werden, dass Azure AD-Authentifizierungsanforderungen erforderlich sind. Systembereitgestellte Endpunkte für Bereitstellungsvorgänge und erweiterte Entwicklertools unterstützen Azure AD, besitzen jedoch standardmäßig die Möglichkeit, alternativ Veröffentlichungsanmeldeinformationen zu verwenden. Diese Veröffentlichungsanmeldeinformationen können deaktiviert werden. Auf einige Endpunkte auf der Datenebene in der App kann durch administrative Schlüssel zugegriffen werden, die im Funktionenhost konfiguriert sind, und diese sind derzeit nicht mit Azure AD-Anforderungen konfigurierbar.
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Referenz: Konfigurieren von Bereitstellungsanmeldeinformationen – Deaktivieren der Standardauthentifizierung
Lokale Authentifizierungsmethoden für den Datenebenenzugriff
Beschreibung: Lokale Authentifizierungsmethoden, die für den Datenebenenzugriff unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Feature-Hinweise: Bereitstellungsanmeldeinformationen werden standardmäßig erstellt, können aber deaktiviert werden. Einige Vorgänge, die von der Anwendungslaufzeit verfügbar gemacht werden, können mit einem Administratorschlüssel ausgeführt werden, der derzeit nicht deaktiviert werden kann. Dieser Schlüssel kann in Azure Key Vault gespeichert und jederzeit neu generiert werden. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Deaktivieren der Standardauthentifizierung
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Datenebenenaktionen unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory(Azure AD)-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden von der Plattform vollständig verwaltet, regelmäßig geändert und geschützt, wodurch hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien vermieden werden.
Referenz: Verwenden verwalteter Identitäten für App Service und Azure Functions
Dienstprinzipale
Beschreibung: Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Web:
| Name (Azure-Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Deaktiviert | 3.0.0 |
IM-7: Einschränken des Zugriffs auf Ressourcen basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf datenebenen kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Featurehinweise: Für Datenebenenendpunkte, die nicht von der Anwendung definiert sind, muss der bedingte Zugriff für Azure Service Management konfiguriert werden.
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.
IM-8: Einschränken der Offenlegung von Anmeldeinformationen und geheimen Schlüsseln
Features
Dienstanmeldeinformationen und Geheimnisse: Unterstützung von Integration und Speicherung in Azure Key Vault
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und geheimen Speicher. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Referenz: Verwenden von Key Vault-Verweisen für App Service und Azure-Funktionen
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Benutzer mit hohen Privilegien oder Administratorrechte trennen und einschränken.
Features
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)
Features
Azure RBAC für die Verwaltungsebene der Daten
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Featurehinweise: Die einzigen Datenebenenaktionen, die Azure RBAC nutzen können, sind die Kudu/SCM/Deployment-Endpunkte. Diese erfordern Berechtigungen für den Microsoft.Web/sites/publish/Action-Vorgang. Endpunkte, die von der Kundenanwendung selbst verfügbar gemacht werden, werden nicht von Azure RBAC abgedeckt.
Konfigurationsleitfaden: Verwenden der rollenbasierten Azure-Zugriffssteuerung (Azure RBAC) zum Verwalten des Azure-Ressourcenzugriffs über integrierte Rollenzuweisungen. Azure RBAC-Rollen können Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zugewiesen werden.
Referenz: RBAC-Berechtigungen, die für den Zugriff auf Kudu erforderlich sind
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Features
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox zum Überprüfen, genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung zur Überwachung von vertraulichen Datenbewegungen (im Inhalt des Kunden). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln Sie vertrauliche Daten während der Übertragung
Features
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten im Transit für die Datenebene. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Featurehinweise: Funktions-Apps werden standardmäßig erstellt, um TLS 1.2 als Mindestversion zu unterstützen, aber eine App kann mit einer niedrigeren Version über eine Konfigurationseinstellung konfiguriert werden. HTTPS ist standardmäßig nicht für eingehende Anforderungen erforderlich, dies kann aber auch über eine Konfigurationseinstellung festgelegt werden. An diesem Punkt wird jede HTTP-Anforderung automatisch umgeleitet, um HTTPS zu verwenden.
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen eine integrierte Datenverschlüsselung während der Übertragung verfügbar ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Ältere Versionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung virtueller Computer SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Referenz: Hinzufügen und Verwalten von TLS/SSL-Zertifikaten in Azure App Service
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Web:
| Name (Azure-Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Zugriff auf App Service-Apps nur über HTTPS gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Überwachen, Deaktiviert, Verweigern | 4.0.0 |
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
DP-5: Bei Bedarf die Option eines kundenseitig verwalteten Schlüssels für die Verschlüsselung ruhender Daten verwenden.
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Featurehinweise: Azure Functions unterstützt dieses Feature nicht direkt, aber eine Anwendung kann so konfiguriert werden, dass Dienste genutzt werden, die als Ersatz für Datenspeicherung in Funktionen dienen. Azure Files können als Datei-System eingebunden werden, alle App-Einstellungen, einschließlich geheimer Schlüssel, können in Azure Key Vault gespeichert werden, und Bereitstellungsoptionen wie "Run-from-Package" können Inhalte aus dem Azure Blob Storage abrufen.
Konfigurationsleitfaden: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe des vom Kunden verwalteten Schlüssels für diese Dienste.
Referenz: Schützen Sie Ihre ruhenden Anwendungsdaten durch Verschlüsselung mit kundengesteuerten Schlüsseln
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihren zugehörigen Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Wenn der Einsatz eines Customer Managed Key (CMK) auf der Ebene der Arbeitsauslastung, des Dienstes oder der Anwendung nötig ist, stellen Sie sicher, dass Sie die Best Practices für das Schlüsselmanagement befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Referenz: Verwenden von Key Vault-Verweisen für App Service und Azure-Funktionen
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B.: unzureichende Schlüsselgröße, übermäßig lange Gültigkeitsdauer oder unsichere Kryptografie. Richten Sie die automatische Erneuerung des Zertifikats in Azure Key Vault und dem Azure-Dienst (sofern unterstützt) basierend auf einem definierten Zeitplan oder beim Ablauf eines Zertifikats ein. Wenn die automatische Drehung in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mit manuellen Methoden in Azure Key Vault und der Anwendung gedreht werden.
Referenz: Hinzufügen eines TLS/SSL-Zertifikats in Azure App Service
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde. Verwenden Sie die Effekte von Azure Policy [verweigern] und [bereitstellen, wenn nicht vorhanden], um eine sichere Konfiguration über Azure-Ressourcen hinweg zu erzwingen.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service /Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Feature-Notizen: Defender for App Service umfasst Azure Functions. Wenn diese Lösung aktiviert ist, werden Funktions-Apps im Geltungsbereich der Aktivierung eingeschlossen.
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Verwaltungsebene zu steuern. Wenn Sie eine Benachrichtigung von Microsoft Defender für Key Vault erhalten, untersuchen und reagieren Sie auf die Warnung.
Referenz: Defender für App Service
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an eine eigene Datensenke schicken, z. B. ein Speicherkonto oder einen Log Analytics-Arbeitsbereich. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Aktivieren von Ressourcenprotokollen für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die ein Geheimnis aus einem Schlüsseltresor abrufen, oder Azure SQL verfügt über Ressourcenprotokolle, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt der Ressourcenprotokolle variiert je nach Azure-Dienst und Ressourcentyp.
Referenz: Überwachen von Azure-Funktionen mit Azure Monitor-Protokollen
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Ein Feature zum Sichern einer Anwendung ist verfügbar, wenn sie in einem Standard-, Premium- oder Isolierten App-Dienstplan gehostet wird. Dieses Feature nutzt Azure Backup nicht und enthält keine Ereignisquellen oder extern verknüpften Speicher. Weitere Informationen finden Sie unter /azure/app-service/manage-backup.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Diensteigene Sicherungsfähigkeiten
Beschreibung: Der Dienst unterstützt seine eigene systemeigene Sicherungsfunktion (wenn nicht Azure Backup verwendet wird). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Featurehinweise: Ein Sicherungsfeature ist für Apps verfügbar, die auf Standard-, Premium- und Isolierten App-Service-Plänen ausgeführt werden. Dies schließt nicht das Sichern von Ereignisquellen oder extern bereitgestelltem Speicherplatz ein.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Sichern und Wiederherstellen Ihrer App in Azure App Service
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Weitere Informationen zu Azure-Sicherheitsbaselines