Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Dieser Sicherheitsgrundwert basiert auf einer früheren Version von Microsoft Cloud Security Benchmark (v1.0) und kann veraltete Anleitungen enthalten. Die neuesten Sicherheitsrichtlinien finden Sie in der Containerregistrierungsdokumentation.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf die Containerregistrierung an. Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Der Inhalt wird durch die Sicherheitssteuerelemente gruppiert, die durch den Microsoft Cloud Security Benchmark und die zugehörigen Anleitungen für die Containerregistrierung definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn eine Funktion über relevante Azure Policy-Definitionen verfügt, werden sie in dieser Baseline aufgeführt, um Sie dabei zu unterstützen, die Einhaltung der Kontrollen und Empfehlungen des Cloudsicherheitsvergleichstests von Microsoft zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.
Hinweis
Features, die nicht für das Container Registry gelten, wurden ausgeschlossen. Informationen dazu, wie container Registry vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Sicherheitsbasiszuordnungsdatei für die Containerregistrierung.
Sicherheitsprofil
Das Sicherheitsprofil fasst verhaltensweisen mit hohem Einfluss der Containerregistrierung zusammen, die zu erhöhten Sicherheitsüberlegungen führen können.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Berechnen, Container |
| Der Kunde kann auf den Host bzw. das Betriebssystem zugreifen. | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Falsch |
| Kundeninhalte werden im Ruhezustand gespeichert. | Wahr |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkdatenverkehr des Dienstes beachtet die Regelzuweisungen der Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Azure Private Link
Beschreibung: Native IP-Filterfunktion des Dienstes zur Filterung von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Bereitstellen privater Endpunkte für alle Azure-Ressourcen, die das Feature "Private Verknüpfung" unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Referenz: Private Verbindung mit einer Azure-Containerregistrierung mithilfe von Azure Private Link herstellen
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters „Öffentlichen Netzwerkzugriff deaktivieren“. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Deaktivieren Des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder durch Aktivieren der Einstellung "Öffentlichen Netzwerkzugriff deaktivieren" für den Dienst.
Referenz: Deaktivieren des öffentlichen Netzwerkzugriffs
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ContainerRegistry:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Wahr | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Authentifizieren mit einer Azure-Containerregistrierung
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebenen unterstützt werden, z. B. lokaler Benutzername und Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Hinweise zur Funktion: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.
Konfigurationsleitfaden: Einschränken der Verwendung lokaler Authentifizierungsmethoden für den Datenebenenzugriff. Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Referenz: Erstellen eines Tokens mit repositorybezogenen Berechtigungen
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mithilfe verwalteter Identitäten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory(Azure AD)-Authentifizierung unterstützen. Anmeldeinformationen für verwaltete Identitäten werden zentral verwaltet, regelmäßig aktualisiert und von der Plattform sicher geschützt, wodurch hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden werden.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Zusätzliche Anleitung: Obwohl Dienstprinzipale vom Dienst als Muster für die Authentifizierung unterstützt werden, empfehlen wir stattdessen, verwaltete Identitäten zu verwenden.
Referenz: Azure Container Registry-Authentifizierung mit Dienstprinzipalen
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf die Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Begrenzen hoch privilegierter/administrativer Benutzer*innen
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst ist dem Konzept nach ein lokales Verwaltungskonto. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Hinweise zur Funktion: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.
Konfigurationsleitfaden: Deaktivieren oder beschränken Sie lokale Administratorkonten auf die Verwendung im Notfall, falls Sie die nicht für routinemäßige Verwaltungsvorgänge benötigen. Jede Containerregistrierung enthält ein Administratorbenutzerkonto, das standardmäßig deaktiviert ist.
Referenz: Authentifizieren mit einer Azure-Containerregistrierung
PA-7: Beachten Sie das Prinzip der "Just Enough Administration" (Prinzip der minimalen Rechte)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Die rollenbasierte Zugriffssteuerung von (Azure Role-Based Access Control, Azure RBAC) kann zum verwalteten Zugriff von Aktionen des Diensts auf Datenebenen verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Wahr | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Azure Container Registry-Rollen und -Berechtigungen
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox zum Überprüfen, genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Referenz: Kunden-Lockbox für Microsoft Azure
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung zum Überwachen vertraulicher Datenbewegung (im Kundeninhalt). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Deaktivieren von Containerregistrierungsexporten, um sicherzustellen, dass nur über die Datenebene ('Docker Pull') auf Daten zugegriffen wird. Dadurch wird sichergestellt, dass Daten nicht über "acr import" oder über "acr transfer" aus der Registrierung verschoben werden können.
Referenz: Containerregistrierungen sollten Exporte deaktiviert haben
DP-3: Verschlüsseln Sie sensible Daten während der Übertragung
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Wahr | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Aktivieren von TLS 1.2 in der Azure-Containerregistrierung
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Wahr | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Verschlüsseln der Registrierung mithilfe eines plattformverwalteten Schlüssels
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels für diese Dienste.
Referenz: Verschlüsseln der Registrierung mithilfe eines vom Kunden verwalteten Schlüssels
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ContainerRegistry:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung der Inhalte Ihrer Registrierungen im Ruhezustand zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. | Überprüfen, Verweigern, Deaktiviert | 1.1.2 |
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Ressourcenverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Funktionen
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Nutzen Sie die Azure Policy Effekte [verweigern] und [bereitstellen, wenn nicht vorhanden], um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Referenz: Überwachen der Compliance von Azure-Containerregistrierungen mithilfe von Azure-Richtlinien
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie die integrierte Microsoft Defender für Cloud-Bedrohungserkennungsfunktion, und aktivieren Sie Microsoft Defender für Ihre Containerregistrierungsressourcen. Microsoft Defender für Container Registry bietet eine weitere Ebene der Sicherheitsintelligenz. Dieses Tool erkennt ungewöhnliche und potenziell schädliche Versuche, auf Ihre Container Registry-Ressourcen zuzugreifen oder diese zu missbrauchen.
Referenz: Übersicht über Microsoft Defender für Container
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, z. B. an ein Speicherkonto oder an einen Log Analytics-Arbeitsbereich. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Aktivieren von Azure-Ressourcenprotokollen für die Containerregistrierung. Sie können Microsoft Defender für Cloud und Azure Policy verwenden, um die Erfassung von Ressourcenprotokollen und Protokolldaten zu aktivieren. Diese Protokolle können für die Untersuchung von Sicherheitsincidents und die Durchführung forensischer Maßnahmen von entscheidender Bedeutung sein.
Referenz: Überwachen der Azure-Containerregistrierung
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Diensteigene Backup-Funktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (sofern nicht Azure Backup verwendet wird). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.