Details zur integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2 (System and Organization Controls)“ (Azure Government)

Artikel
05/01/2024

Im folgenden Artikel wird erläutert, wie die Definition der integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für Azure Policy“ den Compliancebereichen und Kontrollen in SOC 2 (System and Organization Controls) (Azure Government) zugeordnet ist. Weitere Informationen zu diesem Compliancestandard finden Sie unter SOC 2 (System and Organization Controls). Grundlegendes zum Besitzer finden Sie unter Azure Policy-Richtliniendefinition und Gemeinsame Verantwortung in der Cloud.

Die folgenden Zuordnungen beziehen sich auf die Kontrollen von SOC 2 (System and Organization Controls). Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der Definition der integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2, Typ 2“ und wählen Sie sie aus.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

Zusätzliche Kriterien für die Verfügbarkeit

Kapazitätsverwaltung

ID: SOC 2, Typ 2 A1.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Kapazitätsplanung durchführen	CMA_C1252 – Kapazitätsplanung durchführen	Manuell, deaktiviert	1.1.0

Schutz der Umgebung, Software, Datensicherungsprozesse und Wiederherstellungsinfrastruktur

ID: SOC 2, Typ 2 A1.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein.	Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure.	AuditIfNotExists, Disabled	3.0.0
Automatische Notbeleuchtung verwenden	CMA_0209 – Automatische Notbeleuchtung verwenden	Manuell, deaktiviert	1.1.0
Alternativen Verarbeitungsstandort einrichten	CMA_0262 – Alternativen Verarbeitungsstandort einrichten	Manuell, deaktiviert	1.1.0
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein	Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig.	Audit, Disabled	1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein	Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig.	Audit, Disabled	1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein	Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig.	Audit, Disabled	1.0.1
Implementieren einer Penetrationstestmethodik	CMA_0306: Implementieren einer Penetrationstestmethodik	Manuell, deaktiviert	1.1.0
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren	CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren	Manuell, deaktiviert	1.1.0
Alarmsystem installieren	CMA_0338 – Alarmsystem installieren	Manuell, deaktiviert	1.1.0
Ressourcen nach einer Unterbrechung wiederherstellen und neu konfigurieren	CMA_C1295: Ressourcen nach einer Unterbrechung wiederherstellen und neu konfigurieren	Manuell, deaktiviert	1.1.1
Simulationsangriffe ausführen	CMA_0486: Ausführen von Simulationsangriffen	Manuell, deaktiviert	1.1.0
Sicherungsinformationen separat speichern	CMA_C1293 – Sicherungsinformationen separat speichern	Manuell, deaktiviert	1.1.0
Sicherungsinformationen an einen alternativen Speicherstandort übertragen	CMA_C1294 – Sicherungsinformationen an einen alternativen Speicherstandort übertragen	Manuell, deaktiviert	1.1.0

Testen des Wiederherstellungsplans

ID: SOC 2, Typ 2 A1.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Notfallpläne mit zugehörigen Plänen koordinieren	CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren	Manuell, deaktiviert	1.1.0
Notfallplantests für Korrekturmaßnahmen initiieren	CMA_C1263 – Notfallplantests für Korrekturmaßnahmen initiieren	Manuell, deaktiviert	1.1.0
Ergebnisse der Notfallplantests überprüfen	CMA_C1262 – Ergebnisse der Notfallplantests überprüfen	Manuell, deaktiviert	1.1.0
Business Continuity & Disaster Recovery-Plan testen	CMA_0509 – Business Continuity & Disaster Recovery-Plan testen	Manuell, deaktiviert	1.1.0

Zusätzliche Kriterien für Vertraulichkeit

Schutz vertraulicher Informationen

ID: SOC 2, Typ 2 C1.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Physischen Zugriff steuern	CMA_0081 – Physischen Zugriff steuern	Manuell, deaktiviert	1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	Manuell, deaktiviert	1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen	CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen	Manuell, deaktiviert	1.1.0

Entsorgung vertraulicher Informationen

ID: SOC 2, Typ 2 C1.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Physischen Zugriff steuern	CMA_0081 – Physischen Zugriff steuern	Manuell, deaktiviert	1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	Manuell, deaktiviert	1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen	CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen	Manuell, deaktiviert	1.1.0

Kontrollumgebung

COSO-Prinzip 1

ID: SOC 2, Typ 2 CC1.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln	CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln	Manuell, deaktiviert	1.1.0
Verhaltensregeln der Organisation entwickeln	CMA_0159 – Verhaltensregeln der Organisation entwickeln	Manuell, deaktiviert	1.1.0
Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren	CMA_0193 – Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren	Manuell, deaktiviert	1.1.0
Verhaltensregeln und Zugriffsvereinbarungen erzwingen	CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen	Manuell, deaktiviert	1.1.0
Unfaire Praktiken verbieten	CMA_0396 – Unfaire Praktiken verbieten	Manuell, deaktiviert	1.1.0
Überarbeitete Verhaltensregeln überprüfen und unterzeichnen	CMA_0465 – Überarbeitete Verhaltensregeln überprüfen und unterzeichnen	Manuell, deaktiviert	1.1.0
Verhaltensregeln und Zugriffsvereinbarungen aktualisieren	CMA_0521 – Verhaltensregeln und Zugriffsvereinbarungen aktualisieren	Manuell, deaktiviert	1.1.0
Verhaltensregeln und Zugriffsvereinbarungen alle 3 Jahre aktualisieren	CMA_0522 – Verhaltensregeln und Zugriffsvereinbarungen alle 3 Jahre aktualisieren	Manuell, deaktiviert	1.1.0

COSO-Prinzip 2

ID: SOC 2, Typ 2 CC1.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Leitenden Informationssicherheitsbeauftragten ernennen	CMA_C1733 – Leitenden Informationssicherheitsbeauftragten ernennen	Manuell, deaktiviert	1.1.0
Systemsicherheitsplan entwickeln und einrichten	CMA_0151 – Systemsicherheitsplan entwickeln und einrichten	Manuell, deaktiviert	1.1.0
Risikomanagementstrategie einrichten	CMA_0258 – Risikomanagementstrategie einrichten	Manuell, deaktiviert	1.1.0
Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen	CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen	Manuell, deaktiviert	1.1.0
Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren	CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren	Manuell, deaktiviert	1.1.0

COSO-Prinzip 3

ID: SOC 2, Typ 2 CC1.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Leitenden Informationssicherheitsbeauftragten ernennen	CMA_C1733 – Leitenden Informationssicherheitsbeauftragten ernennen	Manuell, deaktiviert	1.1.0
Systemsicherheitsplan entwickeln und einrichten	CMA_0151 – Systemsicherheitsplan entwickeln und einrichten	Manuell, deaktiviert	1.1.0
Risikomanagementstrategie einrichten	CMA_0258 – Risikomanagementstrategie einrichten	Manuell, deaktiviert	1.1.0
Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen	CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen	Manuell, deaktiviert	1.1.0
Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren	CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren	Manuell, deaktiviert	1.1.0

COSO-Prinzip 4

ID: SOC 2, Typ 2 CC1.4 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen	CMA_C1095 – Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen	Manuell, deaktiviert	1.1.0
Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen	CMA_C1091 – Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen	Manuell, deaktiviert	1.1.0
Bereitstellen rollenbasierter praktischer Übungen	CMA_C1096: Bereitstellen rollenbasierter praktischer Übungen	Manuell, deaktiviert	1.1.0
Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen	CMA_0418 – Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen	Manuell, deaktiviert	1.1.0
Sicherheitstraining für neue Benutzer bereitstellen	CMA_0419 – Sicherheitstraining für neue Benutzer bereitstellen	Manuell, deaktiviert	1.1.0

COSO-Prinzip 5

ID: SOC 2, Typ 2 CC1.5 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln	CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln	Manuell, deaktiviert	1.1.0
Verhaltensregeln und Zugriffsvereinbarungen erzwingen	CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen	Manuell, deaktiviert	1.1.0
Formelle Sanktionsprozesse implementieren	CMA_0317 – Formelle Sanktionsprozesse implementieren	Manuell, deaktiviert	1.1.0
Mitarbeiter über Sanktionen benachrichtigen	CMA_0380 – Mitarbeiter über Sanktionen benachrichtigen	Manuell, deaktiviert	1.1.0

Kommunikation und Informationen

COSO-Prinzip 13

ID: SOC 2, Typ 2 CC2.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Physischen Zugriff steuern	CMA_0081 – Physischen Zugriff steuern	Manuell, deaktiviert	1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	Manuell, deaktiviert	1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen	CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen	Manuell, deaktiviert	1.1.0

COSO-Prinzip 14

ID: SOC 2, Typ 2 CC2.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln	CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln	Manuell, deaktiviert	1.1.0
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein	Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein	Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	2.0.0
Verhaltensregeln und Zugriffsvereinbarungen erzwingen	CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen	Manuell, deaktiviert	1.1.0
Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen	CMA_C1095 – Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen	Manuell, deaktiviert	1.1.0
Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen	CMA_C1091 – Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen	Manuell, deaktiviert	1.1.0
Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen	CMA_0418 – Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen	Manuell, deaktiviert	1.1.0
Sicherheitstraining für neue Benutzer bereitstellen	CMA_0419 – Sicherheitstraining für neue Benutzer bereitstellen	Manuell, deaktiviert	1.1.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein.	Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	1.0.1

COSO-Prinzip 15

ID: SOC 2, Typ 2 CC2.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Aufgaben von Auftragsverarbeitern definieren	CMA_0127 – Aufgaben von Auftragsverarbeitern definieren	Manuell, deaktiviert	1.1.0
Ergebnisse der Sicherheitsbewertung liefern	CMA_C1147 – Ergebnisse der Sicherheitsbewertung liefern	Manuell, deaktiviert	1.1.0
Systemsicherheitsplan entwickeln und einrichten	CMA_0151 – Systemsicherheitsplan entwickeln und einrichten	Manuell, deaktiviert	1.1.0
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein	Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein	Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	2.0.0
Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen	CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen	Manuell, deaktiviert	1.1.0
Sicherheitsanforderungen für Mitarbeiter von Drittanbietern einrichten	CMA_C1529 – Öffentliche Verfügbarkeit der Informationen zum Datenschutzprogramm sicherstellen	Manuell, deaktiviert	1.1.0
Datenschutzhinweis-Bereitstellungsmethoden implementieren	CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren	Manuell, deaktiviert	1.1.0
Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren	CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren	Manuell, deaktiviert	1.1.0
Sicherheitsbewertungsbericht erstellen	CMA_C1146 – Sicherheitsbewertungsbericht erstellen	Manuell, deaktiviert	1.1.0
Datenschutzhinweis bereitstellen	CMA_0414 – Datenschutzhinweis bereitstellen	Manuell, deaktiviert	1.1.0
Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern	CMA_C1530 – Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern	Manuell, deaktiviert	1.1.0
Kommunikation einschränken	CMA_0449 – Kommunikation einschränken	Manuell, deaktiviert	1.1.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein.	Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	1.0.1

Risikobewertung

COSO-Prinzip 6

ID: SOC 2, Typ 2 CC3.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationen kategorisieren	CMA_0052 – Informationen kategorisieren	Manuell, deaktiviert	1.1.0
Ermitteln der Informationsschutzanforderungen	CMA_C1750: Ermitteln der Informationsschutzanforderungen	Manuell, deaktiviert	1.1.0
Geschäftsklassifizierungsschemas entwickeln	CMA_0155 – Geschäftsklassifizierungsschemas entwickeln	Manuell, deaktiviert	1.1.0
SSP entwickeln, das Kriterien erfüllt	CMA_C1492 – SSP entwickeln, das Kriterien erfüllt	Manuell, deaktiviert	1.1.0
Risikomanagementstrategie einrichten	CMA_0258 – Risikomanagementstrategie einrichten	Manuell, deaktiviert	1.1.0
Risikobewertung durchführen	CMA_0388 – Risikobewertung durchführen	Manuell, deaktiviert	1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen	CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen	Manuell, deaktiviert	1.1.0

COSO-Prinzip 7

ID: SOC 2, Typ 2 CC3.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationen kategorisieren	CMA_0052 – Informationen kategorisieren	Manuell, deaktiviert	1.1.0
Ermitteln der Informationsschutzanforderungen	CMA_C1750: Ermitteln der Informationsschutzanforderungen	Manuell, deaktiviert	1.1.0
Geschäftsklassifizierungsschemas entwickeln	CMA_0155 – Geschäftsklassifizierungsschemas entwickeln	Manuell, deaktiviert	1.1.0
Risikomanagementstrategie einrichten	CMA_0258 – Risikomanagementstrategie einrichten	Manuell, deaktiviert	1.1.0
Risikobewertung durchführen	CMA_0388 – Risikobewertung durchführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Informationssystemfehler korrigieren	CMA_0427 – Informationssystemfehler korrigieren	Manuell, deaktiviert	1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen	CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen	Manuell, deaktiviert	1.1.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein	Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben.	AuditIfNotExists, Disabled	1.0.1
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein	Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben.	AuditIfNotExists, Disabled	3.0.0

COSO-Prinzip 8

ID: SOC 2, Typ 2 CC3.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Risikobewertung durchführen	CMA_0388 – Risikobewertung durchführen	Manuell, deaktiviert	1.1.0

COSO-Prinzip 9

ID: SOC 2, Typ 2 CC3.4 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Risiko in Drittanbieterbeziehungen bewerten	CMA_0014 – Risiko in Drittanbieterbeziehungen bewerten	Manuell, deaktiviert	1.1.0
Anforderungen für die Bereitstellung von Waren und Dienstleistungen definieren	CMA_0126 – Anforderungen für die Bereitstellung von Waren und Dienstleistungen definieren	Manuell, deaktiviert	1.1.0
Vertragliche Lieferantenverpflichtungen festlegen	CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen	Manuell, deaktiviert	1.1.0
Risikomanagementstrategie einrichten	CMA_0258 – Risikomanagementstrategie einrichten	Manuell, deaktiviert	1.1.0
Richtlinien für das Risikomanagement der Lieferkette einrichten	CMA_0275 – Richtlinien für das Risikomanagement der Lieferkette einrichten	Manuell, deaktiviert	1.1.0
Risikobewertung durchführen	CMA_0388 – Risikobewertung durchführen	Manuell, deaktiviert	1.1.0

Überwachen von Aktivitäten

COSO-Prinzip 16

ID: SOC 2, Typ 2 CC4.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Sicherheitskontrollen bewerten	CMA_C1145 – Sicherheitskontrollen bewerten	Manuell, deaktiviert	1.1.0
Sicherheitsbewertungsplan entwickeln	CMA_C1144 – Sicherheitsbewertungsplan entwickeln	Manuell, deaktiviert	1.1.0
Weitere Tests für Sicherheitskontrollbewertungen auswählen	CMA_C1149 – Weitere Tests für Sicherheitskontrollbewertungen auswählen	Manuell, deaktiviert	1.1.0

COSO-Prinzip 17

ID: SOC 2, Typ 2 CC4.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Ergebnisse der Sicherheitsbewertung liefern	CMA_C1147 – Ergebnisse der Sicherheitsbewertung liefern	Manuell, deaktiviert	1.1.0
Sicherheitsbewertungsbericht erstellen	CMA_C1146 – Sicherheitsbewertungsbericht erstellen	Manuell, deaktiviert	1.1.0

Kontrollaktivitäten

COSO-Prinzip 10

ID: SOC 2, Typ 2 CC5.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Risikomanagementstrategie einrichten	CMA_0258 – Risikomanagementstrategie einrichten	Manuell, deaktiviert	1.1.0
Risikobewertung durchführen	CMA_0388 – Risikobewertung durchführen	Manuell, deaktiviert	1.1.0

COSO-Prinzip 11

ID: SOC 2, Typ 2 CC5.2 Besitz: Freigegeben

COSO-Prinzip 12

ID: SOC 2, Typ 2 CC5.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Whitelist für die Erkennung konfigurieren	CMA_0068 – Whitelist für die Erkennung konfigurieren	Manuell, deaktiviert	1.1.0
Risikobewertung durchführen	CMA_0388 – Risikobewertung durchführen	Manuell, deaktiviert	1.1.0
Sensoren für Endpunktsicherheitslösung aktivieren	CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren	Manuell, deaktiviert	1.1.0
Unabhängige Sicherheitsüberprüfung durchlaufen	CMA_0515 – Unabhängige Sicherheitsüberprüfung durchlaufen	Manuell, deaktiviert	1.1.0

Logische und physische Zugriffssteuerung

Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs

ID: SOC 2, Typ 2 CC6.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Disabled	3.0.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein	MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein	MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein	MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Biometrische Authentifizierungsmechanismen anwenden	CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden	Manuell, deaktiviert	1.1.0
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind.	Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen.	AuditIfNotExists, Disabled	3.0.0
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Audit, Disabled, Deny	4.0.0
App Service-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Disabled	3.0.0
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein	SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Disabled	2.4.0
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren	Manuell, deaktiviert	1.1.0
Zugriff autorisieren und verwalten	CMA_0023 – Zugriff autorisieren und verwalten	Manuell, deaktiviert	1.1.0
Remotezugriff autorisieren	CMA_0024 – Remotezugriff autorisieren	Manuell, deaktiviert	1.1.0
Automation-Kontovariablen sollten verschlüsselt werden	Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden.	Audit, Deny, Disabled	1.1.0
Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	1.1.0
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden.	Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk.	Audit, Deny, Disabled	1.0.3
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Disabled	1.0.0
Cognitive Services-Konten müssen eine Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel aktivieren	Kundenseitig verwaltete Schlüssel sind häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die in Cognitive Services gespeicherten Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu kundenseitig verwalteten Schlüsseln finden Sie unter https://go.microsoft.com/fwlink/?linkid=2121321.	Audit, Deny, Disabled	2.1.0
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK.	Audit, Deny, Disabled	1.1.2
Informationsfluss steuern	CMA_0079 – Informationsfluss steuern	Manuell, deaktiviert	1.1.0
Physischen Zugriff steuern	CMA_0081 – Physischen Zugriff steuern	Manuell, deaktiviert	1.1.0
Datenbestand erstellen	CMA_0096 – Datenbestand erstellen	Manuell, deaktiviert	1.1.0
Verwaltungsprozess physischer Schlüssel definieren	CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren	Manuell, deaktiviert	1.1.0
Kryptografische Verwendung definieren	CMA_0120 – Kryptografische Verwendung definieren	Manuell, deaktiviert	1.1.0
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren	Manuell, deaktiviert	1.1.0
Zugriffssteuerungsmodell entwerfen	CMA_0129 – Zugriffssteuerungsmodell entwerfen	Manuell, deaktiviert	1.1.0
Assertionsanforderungen bestimmen	CMA_0136 – Assertionsanforderungen bestimmen	Manuell, deaktiviert	1.1.0
Mobilitätstraining dokumentieren	CMA_0191 – Mobilitätstraining dokumentieren	Manuell, deaktiviert	1.1.0
Richtlinien für den Remotezugriff dokumentieren	CMA_0196 – Richtlinien für den Remotezugriff dokumentieren	Manuell, deaktiviert	1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	Manuell, deaktiviert	1.1.0
Zugriff mit den geringsten Rechten verwenden	CMA_0212 – Zugriff mit den geringsten Rechten verwenden	Manuell, deaktiviert	1.1.0
Logischen Zugriff erzwingen	CMA_0245 – Logischen Zugriff erzwingen	Manuell, deaktiviert	1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen	Manuell, deaktiviert	1.1.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein	Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Audit, Disabled	1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein	Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Audit, Disabled	1.0.1
Datenleck-Verwaltungsprozedur einrichten	CMA_0255 – Datenleck-Verwaltungsprozedur einrichten	Manuell, deaktiviert	1.1.0
Firewall- und Routerkonfigurationsstandards einrichten	CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten	Manuell, deaktiviert	1.1.0
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	Manuell, deaktiviert	1.1.0
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Audit, Disabled, Deny	5.0.0
Funktions-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Disabled	3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	2.0.1
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden.	Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Downstream-Informationsaustausche identifizieren und verwalten	CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren	CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren	Manuell, deaktiviert	1.1.0
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren	CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren	Manuell, deaktiviert	1.1.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden	Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Öffentliche Schlüsselzertifikate ausstellen	CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen	Manuell, deaktiviert	1.1.0
Für Schlüsseltresore sollte der Löschschutz aktiviert sein.	Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist.	Audit, Deny, Disabled	2.1.0
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein.	Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen.	Audit, Deny, Disabled	3.0.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können.	Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	9.1.0
Datensätze zur Verarbeitung personenbezogener Daten verwalten	CMA_0353 – Datensätze zur Verarbeitung personenbezogener Daten verwalten	Manuell, deaktiviert	1.1.0
Symmetrische kryptografische Schlüssel verwalten	CMA_0367 – Symmetrische kryptografische Schlüssel verwalten	Manuell, deaktiviert	1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	Manuell, deaktiviert	1.1.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden	Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht.	AuditIfNotExists, Disabled	3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden	Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten.	AuditIfNotExists, Disabled	3.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.	Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Benutzer über Systemanmeldung oder -zugriff benachrichtigen	CMA_0382 – Benutzer über Systemanmeldung oder -zugriff benachrichtigen	Manuell, deaktiviert	1.1.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein.	Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Audit, Deny, Disabled	1.0.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Spezielle Informationen schützen	CMA_0409 – Spezielle Informationen schützen	Manuell, deaktiviert	1.1.0
Training zum Datenschutz bereitstellen	CMA_0415 – Training zum Datenschutz bereitstellen	Manuell, deaktiviert	1.1.0
Genehmigung für Kontoerstellung anfordern	CMA_0431 – Genehmigung für Kontoerstellung anfordern	Manuell, deaktiviert	1.1.0
Zugriff auf private Schlüssel einschränken	CMA_0445 – Zugriff auf private Schlüssel einschränken	Manuell, deaktiviert	1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen	Manuell, deaktiviert	1.1.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden	Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Audit, Deny, Disabled	2.0.0
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen	Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden.	Audit, Deny, Disabled	1.1.0
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.	Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen.	Audit, Deny, Disabled	2.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.	Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen.	Audit, Deny, Disabled	2.0.1
Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein	Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur Azure Storage-Verschlüsselung im Ruhezustand finden Sie unter https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden	Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten.	Audit, Disabled	1.0.3
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden	Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern.	AuditIfNotExists, Disabled	3.0.0
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein	Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten.	AuditIfNotExists, Disabled	3.0.0
Transparent Data Encryption für SQL-Datenbanken aktivieren	TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen.	AuditIfNotExists, Disabled	2.0.0
Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln	Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison).	AuditIfNotExists, Disabled	2.0.3
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein	Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird.	AuditIfNotExists, Disabled	3.0.1

Bereitstellung und Entfernung des Zugriffs

ID: SOC 2, Typ 2 CC6.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Kundenbetreuer zuweisen	CMA_0015 – Kundenbetreuer zuweisen	Manuell, deaktiviert	1.1.0
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Disabled	1.0.0
Zugriffsrechte dokumentieren	CMA_0186 – Zugriffsrechte dokumentieren	Manuell, deaktiviert	1.1.0
Bedingungen für die Rollenmitgliedschaft festlegen	CMA_0269 – Bedingungen für die Rollenmitgliedschaft festlegen	Manuell, deaktiviert	1.1.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Genehmigung für Kontoerstellung anfordern	CMA_0431 – Genehmigung für Kontoerstellung anfordern	Manuell, deaktiviert	1.1.0
Zugriff auf privilegierte Konten einschränken	CMA_0446 – Zugriff auf privilegierte Konten einschränken	Manuell, deaktiviert	1.1.0
Kontobereitstellungsprotokolle überprüfen	CMA_0460 – Kontobereitstellungsprotokolle überprüfen	Manuell, deaktiviert	1.1.0
Überprüfen von Benutzerkonten	CMA_0480 – Überprüfen von Benutzerkonten	Manuell, deaktiviert	1.1.0

Rollenbasierter Zugriff und geringste Rechte

ID: SOC 2, Typ 2 CC6.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Disabled	3.0.0
Privilegierte Funktionen überwachen	CMA_0019 – Privilegierte Funktionen überwachen	Manuell, deaktiviert	1.1.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen	Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung.	Audit, Disabled	1.0.1
Status des Benutzerkontos überwachen	CMA_0020 – Status des Benutzerkontos überwachen	Manuell, deaktiviert	1.1.0
Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden.	Um eine präzise Filterung nach den Aktionen zu ermöglichen, die von Benutzer*innen ausgeführt werden können, verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Role Based Access Control, RBAC). Damit können Sie Berechtigungen in Kubernetes Service-Clustern verwalten und relevante Autorisierungsrichtlinien konfigurieren.	Audit, Disabled	1.0.3
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Disabled	1.0.0
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Disabled	1.0.0
Zugriffssteuerungsmodell entwerfen	CMA_0129 – Zugriffssteuerungsmodell entwerfen	Manuell, deaktiviert	1.1.0
Zugriff mit den geringsten Rechten verwenden	CMA_0212 – Zugriff mit den geringsten Rechten verwenden	Manuell, deaktiviert	1.1.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden.	Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Privilegierte Rollenzuweisung überwachen	CMA_0378 – Privilegierte Rollenzuweisung überwachen	Manuell, deaktiviert	1.1.0
Zugriff auf privilegierte Konten einschränken	CMA_0446 – Zugriff auf privilegierte Konten einschränken	Manuell, deaktiviert	1.1.0
Kontobereitstellungsprotokolle überprüfen	CMA_0460 – Kontobereitstellungsprotokolle überprüfen	Manuell, deaktiviert	1.1.0
Überprüfen von Benutzerkonten	CMA_0480 – Überprüfen von Benutzerkonten	Manuell, deaktiviert	1.1.0
Benutzerberechtigungen überprüfen	CMA_C1039 – Benutzerberechtigungen überprüfen	Manuell, deaktiviert	1.1.0
Privilegierte Rollen nach Bedarf widerrufen	CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen	Manuell, deaktiviert	1.1.0
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein	Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten.	AuditIfNotExists, Disabled	3.0.0
Privileged Identity Management verwenden	CMA_0533 – Privileged Identity Management verwenden	Manuell, deaktiviert	1.1.0

Eingeschränkter physischer Zugriff

ID: SOC 2, Typ 2 CC6.4 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Physischen Zugriff steuern	CMA_0081 – Physischen Zugriff steuern	Manuell, deaktiviert	1.1.0

Logischer und physischer Schutz von physischen Ressourcen

ID: SOC 2, Typ 2 CC6.5 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Medienbereinigungsmechanismus verwenden	CMA_0208 – Medienbereinigungsmechanismus verwenden	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern aller Medien implementieren	CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren	Manuell, deaktiviert	1.1.0

Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen

ID: SOC 2, Typ 2 CC6.6 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein	MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein	MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein	MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern.	AuditIfNotExists, Disabled	1.0.0
Biometrische Authentifizierungsmechanismen anwenden	CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden	Manuell, deaktiviert	1.1.0
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind.	Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen.	AuditIfNotExists, Disabled	3.0.0
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Audit, Disabled, Deny	4.0.0
App Service-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Disabled	3.0.0
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein	SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Disabled	2.4.0
Remotezugriff autorisieren	CMA_0024 – Remotezugriff autorisieren	Manuell, deaktiviert	1.1.0
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Audit, Deny, Disabled	1.0.2
Informationsfluss steuern	CMA_0079 – Informationsfluss steuern	Manuell, deaktiviert	1.1.0
Mobilitätstraining dokumentieren	CMA_0191 – Mobilitätstraining dokumentieren	Manuell, deaktiviert	1.1.0
Richtlinien für den Remotezugriff dokumentieren	CMA_0196 – Richtlinien für den Remotezugriff dokumentieren	Manuell, deaktiviert	1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	Manuell, deaktiviert	1.1.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein	Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Audit, Disabled	1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein	Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Audit, Disabled	1.0.1
Firewall- und Routerkonfigurationsstandards einrichten	CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten	Manuell, deaktiviert	1.1.0
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	Manuell, deaktiviert	1.1.0
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Audit, Disabled, Deny	5.0.0
Funktions-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Disabled	3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	2.0.1
Netzwerkgeräte identifizieren und authentifizieren	CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren	Manuell, deaktiviert	1.1.0
Downstream-Informationsaustausche identifizieren und verwalten	CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren	CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren	Manuell, deaktiviert	1.1.0
Systemgrenzschutz implementieren	CMA_0328 – Systemgrenzschutz implementieren	Manuell, deaktiviert	1.1.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden	Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein.	Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden.	AuditIfNotExists, Disabled	3.0.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können.	Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	9.1.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden	Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht.	AuditIfNotExists, Disabled	3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden	Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten.	AuditIfNotExists, Disabled	3.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.	Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Benutzer über Systemanmeldung oder -zugriff benachrichtigen	CMA_0382 – Benutzer über Systemanmeldung oder -zugriff benachrichtigen	Manuell, deaktiviert	1.1.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein.	Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Audit, Deny, Disabled	1.0.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Training zum Datenschutz bereitstellen	CMA_0415 – Training zum Datenschutz bereitstellen	Manuell, deaktiviert	1.1.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden	Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Audit, Deny, Disabled	2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden	Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern.	AuditIfNotExists, Disabled	3.0.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein.	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Audit, Deny, Disabled	2.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein	Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird.	AuditIfNotExists, Disabled	3.0.1

Einschränken des Informationsverkehrs auf autorisierte Benutzer*innen

ID: SOC 2, Typ 2 CC6.7 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind.	Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen.	AuditIfNotExists, Disabled	3.0.0
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Audit, Disabled, Deny	4.0.0
App Service-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Disabled	3.0.0
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren	Manuell, deaktiviert	1.1.0
Informationsfluss steuern	CMA_0079 – Informationsfluss steuern	Manuell, deaktiviert	1.1.0
Anforderungen für mobile Geräte definieren	CMA_0122 – Anforderungen für mobile Geräte definieren	Manuell, deaktiviert	1.1.0
Medienbereinigungsmechanismus verwenden	CMA_0208 – Medienbereinigungsmechanismus verwenden	Manuell, deaktiviert	1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden	Manuell, deaktiviert	1.1.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein	Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Audit, Disabled	1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein	Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Audit, Disabled	1.0.1
Firewall- und Routerkonfigurationsstandards einrichten	CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten	Manuell, deaktiviert	1.1.0
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten	Manuell, deaktiviert	1.1.0
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Audit, Disabled, Deny	5.0.0
Funktions-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Disabled	3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	2.0.1
Downstream-Informationsaustausche identifizieren und verwalten	CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten	Manuell, deaktiviert	1.1.0
Steuerelemente zum Sichern aller Medien implementieren	CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren	Manuell, deaktiviert	1.1.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden	Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können.	Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	9.1.0
Transport von Ressourcen verwalten	CMA_0370 – Transport von Ressourcen verwalten	Manuell, deaktiviert	1.1.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden	Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht.	AuditIfNotExists, Disabled	3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden	Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten.	AuditIfNotExists, Disabled	3.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.	Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc.	AuditIfNotExists, Disabled	3.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein.	Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Audit, Deny, Disabled	1.0.0
In Übertragung begriffene Daten mit Verschlüsselung schützen	CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Kennwörter mit Verschlüsselung schützen	CMA_0408 – Kennwörter mit Verschlüsselung schützen	Manuell, deaktiviert	1.1.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden	Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Audit, Deny, Disabled	2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden	Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern.	AuditIfNotExists, Disabled	3.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein	Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird.	AuditIfNotExists, Disabled	3.0.1

Verhindern oder Erkennen vor nicht autorisierter oder bösartiger Software

ID: SOC 2, Typ 2 CC6.8 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein	Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt.	Audit, Disabled	3.1.0-deprecated
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein	Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen.	AuditIfNotExists, Disabled	3.0.0
Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden	Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen.	AuditIfNotExists, Disabled	3.0.0
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben	Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1.	AuditIfNotExists, Disabled	1.0.0
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein	Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden.	AuditIfNotExists, Disabled	2.0.0
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann	Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren.	AuditIfNotExists, Disabled	2.0.0
App Service-Apps sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	4.0.0
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden	Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden.	Überwachung	1.0.0
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein.	Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden.	Audit, Disabled	1.0.2
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren	CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden	Manuell, deaktiviert	1.1.0
Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein	Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen.	AuditIfNotExists, Disabled	3.0.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein	Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden.	AuditIfNotExists, Disabled	2.0.0
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann	CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App.	AuditIfNotExists, Disabled	2.0.0
Funktions-Apps sollten die neueste „HTTP Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	4.0.0
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein.	Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.2
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten	Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	10.1.0
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben	Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	6.1.0
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden	Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.1
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden	Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.0
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden	Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	10.1.1
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden	Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.0
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden	Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.1
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden	Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.1
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden	Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.0
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen	Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	9.1.0
Kubernetes-Cluster dürfen keine privilegierten Container zulassen	Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	10.1.0
Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden	Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	5.1.0
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen	Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	8.1.0
Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren	Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	6.1.0
Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden	Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	5.1.0
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen.	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist.	AuditIfNotExists, Disabled	1.5.0
Verwalten von Gateways	CMA_0363 – Gateways verwalten	Manuell, deaktiviert	1.1.0
Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen	Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht.	AuditIfNotExists, Disabled	3.1.0
Es dürfen nur genehmigte VM-Erweiterungen installiert werden	Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen.	Audit, Deny, Disabled	1.0.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Sicherheitsrisikoüberprüfungen ausführen	CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen	Manuell, deaktiviert	1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen	CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen	Manuell, deaktiviert	1.1.0
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen	Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen.	Audit, Deny, Disabled	1.0.0
Virendefinitionen aktualisieren	CMA_0517 – Virendefinitionen aktualisieren	Manuell, deaktiviert	1.1.0
Software-, Firmware- und Informationsintegrität bestätigen	CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen	Manuell, deaktiviert	1.1.0
Systemdiagnosedaten anzeigen und konfigurieren	CMA_0544 – Systemdiagnosedaten anzeigen und konfigurieren	Manuell, deaktiviert	1.1.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden	Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.1
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist.	AuditIfNotExists, Disabled	1.0.0

Systemvorgänge

Erkennung und Überwachung neuer Sicherheitsrisiken

ID: SOC 2, Typ 2 CC7.1 Besitz: Freigegeben

Überwachen von Systemkomponenten auf ungewöhnliches Verhalten

ID: SOC 2, Typ 2 CC7.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein.	Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Disabled	4.0.1-preview
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	1.0.0
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	3.0.0
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen	Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen.	AuditIfNotExists, Disabled	1.0.0
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Disabled	1.0.2
Azure Defender für Resource Manager muss aktiviert sein	Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center.	AuditIfNotExists, Disabled	1.0.0
Azure Defender für Server sollte aktiviert werden	Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten.	AuditIfNotExists, Disabled	1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden	Überwachen von SQL-Servern ohne Advanced Data Security	AuditIfNotExists, Disabled	2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein	Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht.	AuditIfNotExists, Disabled	1.0.2
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden	Manuell, deaktiviert	1.1.0
Überwachungsverarbeitungsaktivitäten steuern und überwachen	CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen	Manuell, deaktiviert	1.1.0
Microsoft Defender für Container sollte aktiviert sein	Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen.	AuditIfNotExists, Disabled	1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein	Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen.	AuditIfNotExists, Disabled	1.0.4
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein	Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows).	AuditIfNotExists, Disabled	1.1.1

Erkennung von Sicherheitsvorfällen

ID: SOC 2, Typ 2 CC7.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Richtlinien und Prozeduren zur Reaktion auf Vorfälle überprüfen und aktualisieren	CMA_C1352 – Richtlinien und Prozeduren zur Reaktion auf Vorfälle überprüfen und aktualisieren	Manuell, deaktiviert	1.1.0

Reaktion auf Sicherheitsvorfälle

ID: SOC 2, Typ 2 CC7.4 Besitz: Freigegeben

Wiederherstellung nach identifizierten Sicherheitsvorfällen

ID: SOC 2, Typ 2 CC7.5 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Informationssicherheitsereignisse bewerten	CMA_0013 – Informationssicherheitsereignisse bewerten	Manuell, deaktiviert	1.1.0
Testen von Reaktionen auf Vorfälle durchführen	CMA_0060: Durchführung von Tests zur Reaktion auf Vorfälle	Manuell, deaktiviert	1.1.0
Notfallpläne mit zugehörigen Plänen koordinieren	CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren	Manuell, deaktiviert	1.1.0
Koordinieren mit externen Organisationen, um eine organisationsübergreifende Perspektive zu erreichen	CMA_C1368: Koordinieren mit externen Organisationen, um eine organisationsübergreifende Perspektive zu gewinnen	Manuell, deaktiviert	1.1.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Sicherheitsvorkehrungen entwickeln	CMA_0161 – Sicherheitsvorkehrungen entwickeln	Manuell, deaktiviert	1.1.0
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein	Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein	Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	2.0.0
Netzwerkschutz aktivieren	CMA_0238 – Netzwerkschutz aktivieren	Manuell, deaktiviert	1.1.0
Kontaminierte Informationen eliminieren	CMA_0253 – Kontaminierte Informationen eliminieren	Manuell, deaktiviert	1.1.0
Informationssicherheitsprogramm einrichten	CMA_0263 – Informationssicherheitsprogramm einrichten	Manuell, deaktiviert	1.1.0
Aktionen als Reaktion auf Informationslecks ausführen	CMA_0281 – Aktionen als Reaktion auf Informationslecks ausführen	Manuell, deaktiviert	1.1.0
Vorfallbearbeitung implementieren	CMA_0318 – Vorfallbearbeitung implementieren	Manuell, deaktiviert	1.1.0
Plan zur Reaktion auf Vorfälle beibehalten	CMA_0352 – Plan zur Reaktion auf Vorfälle beibehalten	Manuell, deaktiviert	1.1.0
Network Watcher muss aktiviert sein	Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt.	AuditIfNotExists, Disabled	3.0.0
Trendanalyse für Bedrohungen ausführen	CMA_0389 – Trendanalyse für Bedrohungen ausführen	Manuell, deaktiviert	1.1.0
Simulationsangriffe ausführen	CMA_0486: Ausführen von Simulationsangriffen	Manuell, deaktiviert	1.1.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein.	Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Disabled	1.0.1
Eingeschränkte Benutzer anzeigen und untersuchen	CMA_0545 – Eingeschränkte Benutzer anzeigen und untersuchen	Manuell, deaktiviert	1.1.0

Change Management

Änderungen an Infrastruktur, Daten und Software

ID: SOC 2, Typ 2 CC8.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein	Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt.	Audit, Disabled	3.1.0-deprecated
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben	Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1.	AuditIfNotExists, Disabled	1.0.0
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein	Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden.	AuditIfNotExists, Disabled	2.0.0
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann	Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren.	AuditIfNotExists, Disabled	2.0.0
App Service-Apps sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	4.0.0
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden	Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden.	Überwachung	1.0.0
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein.	Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden.	Audit, Disabled	1.0.2
Sicherheitsauswirkungsanalyse durchführen	CMA_0057 – Sicherheitsauswirkungsanalyse durchführen	Manuell, deaktiviert	1.1.0
Aktionen für nicht kompatible Geräte konfigurieren	CMA_0062 – Aktionen für nicht kompatible Geräte konfigurieren	Manuell, deaktiviert	1.1.0
Standard für Sicherheitsrisikomanagement entwickeln und verwalten	CMA_0152 – Standard für Sicherheitsrisikomanagement entwickeln und verwalten	Manuell, deaktiviert	1.1.0
Basisplankonfigurationen entwickeln und verwalten	CMA_0153 – Basisplankonfigurationen entwickeln und verwalten	Manuell, deaktiviert	1.1.0
Einstellungen für die Sicherheitskonfiguration erzwingen	CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen	Manuell, deaktiviert	1.1.0
Konfigurationssteuerungsgremium einrichten	CMA_0254 – Konfigurationssteuerungsgremium einrichten	Manuell, deaktiviert	1.1.0
Risikomanagementstrategie einrichten	CMA_0258 – Risikomanagementstrategie einrichten	Manuell, deaktiviert	1.1.0
Konfigurationsverwaltungsplan einrichten und dokumentieren	CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren	Manuell, deaktiviert	1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren	CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren	Manuell, deaktiviert	1.1.0
Konfigurationsverwaltungsanforderungen für Entwickler einrichten	CMA_0270 – Konfigurationsverwaltungsanforderungen für Entwickler einrichten	Manuell, deaktiviert	1.1.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein	Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden.	AuditIfNotExists, Disabled	2.0.0
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann	CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App.	AuditIfNotExists, Disabled	2.0.0
Funktions-Apps sollten die neueste „HTTP Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Disabled	4.0.0
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein.	Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.2
Tool für die automatisierte Konfigurationsverwaltung implementieren	CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren	Manuell, deaktiviert	1.1.0
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten	Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	10.1.0
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben	Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	6.1.0
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden	Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.1
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden	Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.0
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden	Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	10.1.1
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden	Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.0
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden	Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.1
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden	Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.1
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden	Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	7.1.0
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen	Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	9.1.0
Kubernetes-Cluster dürfen keine privilegierten Container zulassen	Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	10.1.0
Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden	Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	5.1.0
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen	Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	8.1.0
Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren	Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	6.1.0
Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden	Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung	5.1.0
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen.	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist.	AuditIfNotExists, Disabled	1.5.0
Es dürfen nur genehmigte VM-Erweiterungen installiert werden	Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen.	Audit, Deny, Disabled	1.0.0
Datenschutzauswirkungsbewertung durchführen	CMA_0387 – Datenschutzauswirkungsbewertung durchführen	Manuell, deaktiviert	1.1.0
Risikobewertung durchführen	CMA_0388 – Risikobewertung durchführen	Manuell, deaktiviert	1.1.0
Überprüfung für Konfigurationsänderungssteuerung ausführen	CMA_0390 – Überprüfung für Konfigurationsänderungssteuerung ausführen	Manuell, deaktiviert	1.1.0
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen	Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen.	Audit, Deny, Disabled	1.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden	Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol.	AuditIfNotExists, Disabled	1.0.1
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist.	AuditIfNotExists, Disabled	1.0.0

Risikominderung

Aktivitäten zur Risikominderung

ID: SOC 2, Typ 2 CC9.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Ermitteln der Informationsschutzanforderungen	CMA_C1750: Ermitteln der Informationsschutzanforderungen	Manuell, deaktiviert	1.1.0
Risikomanagementstrategie einrichten	CMA_0258 – Risikomanagementstrategie einrichten	Manuell, deaktiviert	1.1.0
Risikobewertung durchführen	CMA_0388 – Risikobewertung durchführen	Manuell, deaktiviert	1.1.0

Risikomanagement von Anbietern und Geschäftspartner*innen

ID: SOC 2, Typ 2 CC9.2 Besitz: Freigegeben

Zusätzliche Kriterien für den Datenschutz

Datenschutzbestimmungen

ID: SOC 2, Typ 2 P1.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Datenschutzrichtlinie dokumentieren und verteilen	CMA_0188 – Datenschutzrichtlinie dokumentieren und verteilen	Manuell, deaktiviert	1.1.0
Öffentliche Verfügbarkeit der Informationen zum Datenschutzprogramm sicherstellen	CMA_C1867 – Öffentliche Verfügbarkeit der Informationen zum Datenschutzprogramm sicherstellen	Manuell, deaktiviert	1.1.0
Datenschutzhinweis-Bereitstellungsmethoden implementieren	CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren	Manuell, deaktiviert	1.1.0
Datenschutzhinweis bereitstellen	CMA_0414 – Datenschutzhinweis bereitstellen	Manuell, deaktiviert	1.1.0
Bereitstellen von Datenschutzhinweisen für die Öffentlichkeit und für Einzelpersonen	CMA_C1861: Bereitstellen von Datenschutzhinweisen für die Öffentlichkeit und für Einzelpersonen	Manuell, deaktiviert	1.1.0

ID: SOC 2, Typ 2 P2.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren	CMA_0193 – Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren	Manuell, deaktiviert	1.1.0
Datenschutzhinweis-Bereitstellungsmethoden implementieren	CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren	Manuell, deaktiviert	1.1.0
Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen	CMA_0385 – Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen	Manuell, deaktiviert	1.1.0
Datenschutzhinweis bereitstellen	CMA_0414 – Datenschutzhinweis bereitstellen	Manuell, deaktiviert	1.1.0

Konsistente Erfassung personenbezogener Daten

ID: SOC 2, Typ 2 P3.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Bestimmen der rechtlichen Befugnis für die Erfassung personenbezogener Daten (PII)	CMA_C1800 – Bestimmen der rechtlichen Befugnis für die Erfassung personenbezogener Daten (PII)	Manuell, deaktiviert	1.1.0
Dokumentieren des Prozesses zum Sicherstellen der Integrität personenbezogener Informationen	CMA_C1827: Dokumentieren des Prozesses zum Sicherstellen der Integrität personenbezogener Informationen	Manuell, deaktiviert	1.1.0
Regelmäßiges Auswerten und Überprüfen personenbezogener Informationen	CMA_C1832: Regelmäßiges Auswerten und Überprüfen personenbezogener Informationen	Manuell, deaktiviert	1.1.0
Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen	CMA_0385 – Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen	Manuell, deaktiviert	1.1.0

ID: SOC 2, Typ 2 P3.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Erfassen von personenbezogenen Daten (PII) direkt von der Person	CMA_C1822 – Erfassen von personenbezogenen Daten (PII) direkt von der Person	Manuell, deaktiviert	1.1.0
Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen	CMA_0385 – Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen	Manuell, deaktiviert	1.1.0

Verwendung personenbezogener Daten

ID: SOC 2, Typ 2 P4.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Rechtliche Grundlage für die Verarbeitung personenbezogener Daten dokumentieren	CMA_0206 – Rechtliche Grundlage für die Verarbeitung personenbezogener Daten dokumentieren	Manuell, deaktiviert	1.1.0
Datenschutzhinweis-Bereitstellungsmethoden implementieren	CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren	Manuell, deaktiviert	1.1.0
Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen	CMA_0385 – Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen	Manuell, deaktiviert	1.1.0
Datenschutzhinweis bereitstellen	CMA_0414 – Datenschutzhinweis bereitstellen	Manuell, deaktiviert	1.1.0
Kommunikation einschränken	CMA_0449 – Kommunikation einschränken	Manuell, deaktiviert	1.1.0

Aufbewahrung personenbezogener Daten

ID: SOC 2, Typ 2 P4.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten	CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten	Manuell, deaktiviert	1.1.0
Dokumentieren des Prozesses zum Sicherstellen der Integrität personenbezogener Informationen	CMA_C1827: Dokumentieren des Prozesses zum Sicherstellen der Integrität personenbezogener Informationen	Manuell, deaktiviert	1.1.0

Entsorgung personenbezogener Daten

ID: SOC 2, Typ 2 P4.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Dispositionsüberprüfung durchführen	CMA_0391 – Dispositionsüberprüfung durchführen	Manuell, deaktiviert	1.1.0
Löschung der personenbezogene Daten am Ende der Verarbeitung überprüfen	CMA_0540 – Löschung der personenbezogene Daten am Ende der Verarbeitung überprüfen	Manuell, deaktiviert	1.1.0

Zugriff auf personenbezogene Daten

ID: SOC 2, Typ 2 P5.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Methoden für Consumer-Anforderungen implementieren	CMA_0319 – Methoden für Consumer-Anforderungen implementieren	Manuell, deaktiviert	1.1.0
Regeln und Vorschriften für den Zugriff auf Datenschutzerklärungsdatensätze veröffentlichen	CMA_C1847 – Regeln und Vorschriften für den Zugriff auf Datenschutzerklärungsdatensätze veröffentlichen	Manuell, deaktiviert	1.1.0

Korrektur personenbezogener Daten

ID: SOC 2, Typ 2 P5.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Antworten auf Berichtigungsanforderungen	CMA_0442 – Antworten auf Berichtigungsanforderungen	Manuell, deaktiviert	1.1.0

Offenlegung personenbezogener Daten durch Drittanbieter

ID: SOC 2, Typ 2 P6.1 Besitz: Freigegeben

Autorisierte Offenlegung von Datensätzen mit personenbezogenen Daten

ID: SOC 2, Typ 2 P6.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Genaue Buchhaltung über die Weitergabe von Informationen führen	CMA_C1818: Genaue Buchhaltung über die Weitergabe von Informationen führen	Manuell, deaktiviert	1.1.0

Nicht autorisierte Offenlegung von Datensätzen mit personenbezogenen Daten

ID: SOC 2, Typ 2 P6.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Genaue Buchhaltung über die Weitergabe von Informationen führen	CMA_C1818: Genaue Buchhaltung über die Weitergabe von Informationen führen	Manuell, deaktiviert	1.1.0

Vereinbarungen mit Drittanbietern

ID: SOC 2, Typ 2 P6.4 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Aufgaben von Auftragsverarbeitern definieren	CMA_0127 – Aufgaben von Auftragsverarbeitern definieren	Manuell, deaktiviert	1.1.0

Benachrichtigung über autorisierte Offenlegung durch Dritte

ID: SOC 2, Typ 2 P6.5 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Vertragliche Lieferantenverpflichtungen festlegen	CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen	Manuell, deaktiviert	1.1.0
Akzeptanzkriterien für Kaufverträge dokumentieren	CMA_0187 – Akzeptanzkriterien für Kaufverträge dokumentieren	Manuell, deaktiviert	1.1.0
Schutz personenbezogener Daten in Kaufverträgen dokumentieren	CMA_0194 – Schutz personenbezogener Daten in Kaufverträgen dokumentieren	Manuell, deaktiviert	1.1.0
Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren	CMA_0195 – Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren	Manuell, deaktiviert	1.1.0
Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren	CMA_0197 – Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren	Manuell, deaktiviert	1.1.0
Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren	CMA_0199 – Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren	Manuell, deaktiviert	1.1.0
Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren	CMA_0200 – Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren	Manuell, deaktiviert	1.1.0
Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren	CMA_0201 – Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren	Manuell, deaktiviert	1.1.0
Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren	CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren	Manuell, deaktiviert	1.1.0
Umgebung des Informationssystems in Kaufverträgen dokumentieren	CMA_0205 – Umgebung des Informationssystems in Kaufverträgen dokumentieren	Manuell, deaktiviert	1.1.0
Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren	CMA_0207 – Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren	Manuell, deaktiviert	1.1.0
Informationssicherheit und Schutz personenbezogener Daten	CMA_0332: Informationssicherheit und Schutz personenbezogener Daten	Manuell, deaktiviert	1.1.0

Benachrichtigung über Datenschutzvorfälle

ID: SOC 2, Typ 2 P6.6 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle	CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln	Manuell, deaktiviert	1.1.0
Informationssicherheit und Schutz personenbezogener Daten	CMA_0332: Informationssicherheit und Schutz personenbezogener Daten	Manuell, deaktiviert	1.1.0

Verantwortung für Offenlegung personenbezogener Daten

ID: SOC 2, Typ 2 P6.7 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Datenschutzhinweis-Bereitstellungsmethoden implementieren	CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren	Manuell, deaktiviert	1.1.0
Genaue Buchhaltung über die Weitergabe von Informationen führen	CMA_C1818: Genaue Buchhaltung über die Weitergabe von Informationen führen	Manuell, deaktiviert	1.1.0
Buchhaltung über die Offenlegungen auf Anforderung zur Verfügung stellen	CMA_C1820: Buchhaltung über die Offenlegungen auf Anforderung zur Verfügung stellen	Manuell, deaktiviert	1.1.0
Datenschutzhinweis bereitstellen	CMA_0414 – Datenschutzhinweis bereitstellen	Manuell, deaktiviert	1.1.0
Kommunikation einschränken	CMA_0449 – Kommunikation einschränken	Manuell, deaktiviert	1.1.0

Qualität personenbezogener Daten

ID: SOC 2, Typ 2 P7.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Überprüfen der Qualität und Integrität von personenbezogenen Informationen	CMA_C1821: Überprüfen der Qualität und Integrität von personenbezogenen Informationen	Manuell, deaktiviert	1.1.0
Herausgeben von Richtlinien zur Gewährleistung der Datenqualität und Integrität	CMA_C1824: Herausgeben von Richtlinien zur Gewährleistung der Datenqualität und Integrität	Manuell, deaktiviert	1.1.0
Überprüfen ungenauer oder veralteter personenbezogener Daten (PII)	CMA_C1823 – Überprüfen ungenauer oder veralteter personenbezogener Daten (PII)	Manuell, deaktiviert	1.1.0

Verwaltung von Datenschutzbeschwerden und Complianceverwaltung

ID: SOC 2, Typ 2 P8.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Beschwerdeverfahren zum Datenschutz dokumentieren und implementieren	CMA_0189 – Beschwerdeverfahren zum Datenschutz dokumentieren und implementieren	Manuell, deaktiviert	1.1.0
Regelmäßiges Auswerten und Überprüfen personenbezogener Informationen	CMA_C1832: Regelmäßiges Auswerten und Überprüfen personenbezogener Informationen	Manuell, deaktiviert	1.1.0
Informationssicherheit und Schutz personenbezogener Daten	CMA_0332: Informationssicherheit und Schutz personenbezogener Daten	Manuell, deaktiviert	1.1.0
Rechtzeitige Reaktion auf Beschwerden, Bedenken oder Fragen	CMA_C1853 – Rechtzeitige Reaktion auf Beschwerden, Bedenken oder Fragen	Manuell, deaktiviert	1.1.0
Mitarbeiter zur Freigabe personenbezogener Informationen und deren Folgen schulen	CMA_C1871 – Mitarbeiter zur Freigabe personenbezogener Informationen und deren Folgen trainieren	Manuell, deaktiviert	1.1.0

Zusätzliche Kriterien für die Verarbeitungsintegrität

Datenverarbeitungsdefinitionen

ID: SOC 2, Typ 2 PI1.1 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Datenschutzhinweis-Bereitstellungsmethoden implementieren	CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren	Manuell, deaktiviert	1.1.0
Datenschutzhinweis bereitstellen	CMA_0414 – Datenschutzhinweis bereitstellen	Manuell, deaktiviert	1.1.0
Kommunikation einschränken	CMA_0449 – Kommunikation einschränken	Manuell, deaktiviert	1.1.0

Systemeingaben über Vollständigkeit und Genauigkeit

ID: SOC 2, Typ 2 PI1.2 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Überprüfung der Informationseingabe durchführen	CMA_C1723 – Überprüfung der Informationseingabe durchführen	Manuell, deaktiviert	1.1.0

Systemverarbeitung

ID: SOC 2, Typ 2 PI1.3 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Physischen Zugriff steuern	CMA_0081 – Physischen Zugriff steuern	Manuell, deaktiviert	1.1.0
Fehlermeldungen generieren	CMA_C1724 – Fehlermeldungen generieren	Manuell, deaktiviert	1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	Manuell, deaktiviert	1.1.0
Überprüfung der Informationseingabe durchführen	CMA_C1723 – Überprüfung der Informationseingabe durchführen	Manuell, deaktiviert	1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen	CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen	Manuell, deaktiviert	1.1.0

Systemausgabe ist vollständig, genau und rechtzeitig

ID: SOC 2, Typ 2 PI1.4 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Physischen Zugriff steuern	CMA_0081 – Physischen Zugriff steuern	Manuell, deaktiviert	1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	Manuell, deaktiviert	1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen	CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen	Manuell, deaktiviert	1.1.0

Eingaben und Ausgaben vollständig, genau und rechtzeitig speichern

ID: SOC 2, Typ 2 PI1.5 Besitz: Freigegeben

Name _{(Azure-Portal)}	BESCHREIBUNG	Auswirkungen	Version _(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein.	Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure.	AuditIfNotExists, Disabled	3.0.0
Physischen Zugriff steuern	CMA_0081 – Physischen Zugriff steuern	Manuell, deaktiviert	1.1.0
Sicherungsrichtlinien und -prozeduren einrichten	CMA_0268 – Sicherungsrichtlinien und -prozeduren einrichten	Manuell, deaktiviert	1.1.0
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein	Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig.	Audit, Disabled	1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein	Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig.	Audit, Disabled	1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein	Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig.	Audit, Disabled	1.0.1
Steuerelemente zum Sichern aller Medien implementieren	CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren	Manuell, deaktiviert	1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten	Manuell, deaktiviert	1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen	CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen	Manuell, deaktiviert	1.1.0
Sicherungsinformationen separat speichern	CMA_C1293 – Sicherungsinformationen separat speichern	Manuell, deaktiviert	1.1.0