Häufige Fragen zur Einhaltung gesetzlicher Bestimmungen

Die Microsoft-Benchmark für Cloudsicherheit (Microsoft Cloud Security Benchmark, MCSB) ist der kanonische Satz von Sicherheitsempfehlungen und bewährten Methoden, die von Microsoft definiert wurden und auf allgemeine Compliancekontrollframeworks ausgerichtet sind, einschließlich CIS Control Framework, NIST SP 800-53 und PCI-DSS. MCSB ist ein umfassender cloudagnostischer Satz von Sicherheitsprinzipien mit Empfehlungen für die aktuellsten technischen Richtlinien für Azure sowie anderen Clouds wie AWS und GCP. Wir empfehlen MCSB Kunden, deren Sicherheitsstatus maximiert und deren Konformitätsstatus an Branchenstandards ausgerichtet werden soll.

Die CIS-Benchmark wird von einer unabhängigen Entität – Center for Internet Security (CIS) – erstellt und enthält Empfehlungen für eine Teilmenge der wichtigsten Azure-Dienste. Wir arbeiten mit CIS zusammen, um sicherzustellen, dass die Empfehlungen die neuesten Optimierungen in Azure beinhalten. Dabei kann es jedoch zu Verzögerungen kommen, sodass die Empfehlungen veraltet sind. Dennoch nutzen einige Kunden diese objektive Drittanbieterbewertung von CIS gerne als erste und primäre Sicherheitsbaseline.

Seit der Veröffentlichung der Microsoft-Benchmark für Cloudsicherheit haben sich viele Kunden dazu entschieden, sie als Ersatz für die CIS-Benchmarks einzusetzen.

Standardmäßig wird auf dem Dashboard für die Einhaltung gesetzlicher Bestimmungen die Microsoft-Benchmark für Cloudsicherheit angezeigt. Bei der Microsoft-Benchmark für Cloudsicherheit handelt es sich um von Microsoft erstellte Sicherheitsrichtlinien und bewährte Methoden für Compliance, die auf gängigen Complianceframeworks basieren. Weitere Informationen finden Sie in der Einführung zur Microsoft-Benchmark für Cloudsicherheit.

Wenn Sie Ihre Konformität mit einem anderen Standard nachverfolgen möchten, müssen Sie ihn explizit Ihrem Dashboard hinzufügen.

Eine Liste der verfügbaren regulatorischen Standards finden Sie unter Welche gesetzlichen Compliancestandards in Defender für Cloudverfügbar sind.

AWS: Bei einem Onboarding von Benutzern werden jedem AWS-Konto die AWS Foundational Security Best Practices zugewiesen. Hierbei handelt es sich um die AWS-spezifische Richtlinie zu bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Complianceframeworks basiert.

Benutzer, für die ein Defender-Bundle aktiviert ist, können andere Standards aktivieren.

So fügen Sie Standards für die Einhaltung gesetzlicher Bestimmungen für AWS-Konten hinzu

1. Navigieren Sie zu Umgebungseinstellungen.

2. Wählen Sie das entsprechende Konto aus.

3. Wählen Sie Standards aus.

4. Wählen Sie Hinzufügen und dann Standard aus.

5. Wählen Sie im Dropdownmenü einen Standard aus.

6. Wählen Sie Speichern aus.

   

Dem Dashboard werden weitere Standards hinzugefügt und in die Informationen unter Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen eingeschlossen.

Für jeden Konformitätsstandard auf dem Dashboard gibt es eine Liste mit den zugehörigen Kontrollen. Sie können für eine Kontrolle jeweils die Details zu den bestandenen und nicht bestandenen Bewertungen anzeigen.

Einige Steuerelemente sind ausgegraut. Diese Steuerelemente sind keinen Defender für Cloud-Bewertungen zugeordnet. Einige sind möglicherweise prozedur- oder prozessbezogen und können daher nicht von Defender für Cloud überprüft werden. Für einige werden automatisierte Richtlinien oder Bewertungen erst noch implementiert. Und für einige Kontrollen ist ggf. die Plattform zuständig, wie unter Gemeinsame Verantwortung in der Cloud erläutert.

Wenn Sie das Dashboard für die Einhaltung gesetzlicher Bestimmungen anpassen und sich nur auf die für Sie relevanten Standards konzentrieren möchten, können Sie alle angezeigten gesetzlichen Standards entfernen, die für Ihre Organisation nicht relevant sind. Eine Anleitung zum Entfernen von Standards finden Sie unter Entfernen eines Standards aus Ihrem Dashboard.

Nach der Umsetzung von Empfehlungen kann es bis zu zwölf Stunden dauern, bis die Änderungen an Ihren Konformitätsdaten sichtbar werden. Bewertungen werden etwa alle 12 Stunden durchgeführt, und die Auswirkungen auf Ihre Konformitätsdaten sind jeweils erst nach Abschluss einer Bewertung sichtbar.

Um auf alle Compliancedaten in Ihrem Mandanten zugreifen zu können, benötigen Sie mindestens eine Leseberechtigungsstufe für den entsprechenden Bereich Ihres Mandanten oder für alle relevanten Abonnements.

Für den Zugriff auf das Dashboard und die Verwaltung von Standards werden mindestens die Rollen Mitwirkender bei Ressourcenrichtlinien und Sicherheitsadministrator benötigt.

Um das Dashboard für die Einhaltung gesetzlicher Bestimmungen zu verwenden, muss Defender für Cloud auf Abonnementebene aktiviert sein. Sollte das Dashboard nicht ordnungsgemäß geladen werden, versuchen Sie Folgendes:

1. Löschen Sie den Cache des Browsers.
2. Versuchen Sie es mit einem anderen Browser.
3. Versuchen Sie, das Dashboard von einer anderen Netzwerkadresse aus zu öffnen.

Auf dem Hauptdashboard können Sie einen Bericht über bestandene und nicht bestandene Kontrollen für (1) die Top 4 der niedrigsten Konformitätsstandards auf dem Dashboard erstellen. Wenn Sie den Status aller bestandenen/nicht bestandenen Kontrollen anzeigen möchten, wählen Sie (2) Alle x anzeigen aus, wobei „x“ die Anzahl der nachverfolgten Standards ist. Auf einer Kontextebene wird der Konformitätsstatus für jeden nachverfolgten Standard angezeigt.

Wenn Sie Bericht herunterladen auswählen, wählen Sie den Standard und das Format (PDF oder CSV) aus. Der resultierende Bericht umfasst die Abonnements, den Sie im Filter des Portals ausgewählt haben.

• Der PDF-Bericht enthält einen Zusammenfassungsstatus für den von Ihnen ausgewählten Standard.
• Der CSV-Bericht liefert detaillierte Ergebnisse pro Ressource, da er sich auf Richtlinien bezieht, die der jeweiligen Kontrolle zugeordnet sind.

Derzeit kann nur ein Bericht für die bereitgestellten gesetzlichen Standards heruntergeladen werden, nicht aber für eine benutzerdefinierte Richtlinie.

Für MCSB-Empfehlungen, die in der Sicherheitsbewertung enthalten sind, können Sie Ausnahmen für eine oder mehrere Ressourcen direkt im Portal erstellen, wie in Ausnehmen von Ressourcen und Empfehlungen von Ihrer Sicherheitsbewertung erläutert.

Für andere Empfehlungen können Sie eine Ausnahme direkt in der Empfehlung selbst erstellen, indem Sie die Anweisungen in Azure Policy-Ausnahmestruktur befolgen.

Wenn Sie irgendeinen der Microsoft Defender-Pläne für irgendwelche Ihrer Azure-Ressourcen aktiviert haben (mit Ausnahme des Defender for Servers-Plan 1), können Sie auf das Dashboard zur Einhaltung gesetzlicher Bestimmungen von Defender for Cloud und alle zugehörigen Daten zugreifen.