Diese Sicherheitsbaseline wendet Anleitungen des Microsoft Cloud Security Benchmark Version 1.0 auf Site Recovery an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitsvergleichstest und die entsprechenden Richtlinien für Site Recovery definiert werden.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Funktionen, die nicht für Site Recovery gelten, wurden ausgeschlossen. Informationen dazu, wie Site Recovery vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei Site Recovery Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Site Recovery mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
Dienstverhaltensattribut
Wert
Produktkategorie
Compute
Der Kunde kann auf HOST/OS zugreifen
Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall).
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das feature Private Link unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Zugriffs auf öffentliche Netzwerke entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren".
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Featurehinweise: Azure Site Recovery repliziert Daten über einen öffentlichen Endpunkt in ein Azure-Speicherkonto oder verwaltete Datenträger. Die Replikation kann jedoch auch über ein Site-to-Site-VPN ausgeführt werden.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Featurehinweise: Azure Site Recovery verwendet und unterstützt verwaltete Identitäten und Dienstprinzipale in Azure AD für bestimmte Vorgänge auf Datenebene.
Konfigurationsleitfaden: Wenn Sie Site Recovery zum Verwalten von Updates verwenden, wird ein globales Runbook (von Azure-Diensten verwendet) über ein Automation-Konto bereitgestellt, das im selben Abonnement wie der Tresor erstellt wird. Das Automation-Konto nutzt ein ausführenes Azure-Konto (Dienstprinzipal).
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Featurehinweise: Die verwaltete Identität wird nur für Site Recovery zur Authentifizierung bei anderen Azure-Diensten unterstützt.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Featurehinweise: Azure Site Recovery unterstützt Dienstprinzipale in Azure AD für bestimmte Vorgänge auf Datenebene.
Konfigurationsleitfaden: Für Dienste, die keine verwalteten Identitäten unterstützen, verwenden Sie Azure Active Directory (Azure AD), um einen Dienstprinzipal mit eingeschränkten Berechtigungen auf Ressourcenebene zu erstellen. Konfigurieren Sie Dienstprinzipale mit Zertifikatanmeldeinformationen, und greifen Sie für die Authentifizierung auf Clientgeheimnisse zurück.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Featurehinweise: Zum Einrichten der Notfallwiederherstellung für Azure-VMs benötigt das Azure AD-Konto die Rollen Anwendungsbesitzer und Anwendungsentwickler, um die Replikation zu aktivieren.
Konfigurationsleitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), um den Azure-Ressourcenzugriff über integrierte Rollenzuweisungen zu verwalten. Azure RBAC-Rollen können Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zugewiesen werden.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Features
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/-verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (im Inhalt des Kunden) zu überwachen.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Featurehinweise: Daten werden innerhalb von Kundenlokalen und in Azure Storage repliziert, um Workloads in Azure replizieren zu können. Sie können eine DLP-Lösung für die Überwachung in Azure Storage konfigurieren.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Datenverschlüsselung während der Übertragung für die Datenebene.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
True
Microsoft
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen verwalteten Microsoft-Schlüsseln verschlüsselt.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
True
Microsoft
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Definieren Sie bei Bedarf für die Einhaltung gesetzlicher Bestimmungen den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mithilfe von kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine wichtige Einstellung oder Kompromittierung vorliegt. Wenn kundenseitig verwalteter Schlüssel (Customer-Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst bringen müssen (z. B. den Import HSM-geschützter Schlüssel von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und den Azure-Dienst (sofern unterstützt) basierend auf einem definierten Zeitplan oder bei einem Zertifikatablauf ein. Wenn die automatische Drehung in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mithilfe manueller Methoden in Azure Key Vault und der Anwendung rotiert werden.
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [bereitstellen, wenn nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
False
Nicht zutreffend
Nicht zutreffend
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden.
Weitere Informationen
Unterstützt
Standardmäßig aktiviert
Konfigurationsverantwortung
True
False
Kunde
Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die ein Geheimnis aus einem Schlüsseltresor abrufen, oder und Azure SQL über Ressourcenprotokolle verfügt, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.
Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure.
Erfahren Sie mehr über Azure Backup, und lernen Sie anschließend, wie Wiederherstellungstresore und Azure Backup-Richtlinien implementiert werden. Erfahren Sie, wie Sie Windows-IaaS-VM-Wiederherstellung implementieren, Sicherung und Wiederherstellung von lokalen Workloads durchführen und Azure-VM-Sicherungen verwalten.
Veranschaulichen der Grundlagen von Datensicherheit, Lebenszyklusverwaltung, Informationssicherheit und Compliance zum Schutz einer Microsoft 365-Bereitstellung