Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen für HIPAA HITRUST 9.2

Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in HIPAA HITRUST 9.2 entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter HIPAA HITRUST 9.2. Grundlegendes zum Besitzer finden Sie unter Azure Policy-Richtliniendefinition und Gemeinsame Verantwortung in der Cloud.

Die folgenden Zuordnungen gelten für die HIPAA HITRUST 9.2-Steuerungen. Über den rechten Navigationsbereich können Sie direkt zu einem bestimmten Steuerungsbereich springen. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der integrierten Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß HITRUST/HIPAA, und wählen Sie sie aus.

Diese integrierte Initiative wird als Teil des Blaupausenbeispiels „HIPAA HITRUST 9.2“ bereitgestellt.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

Berechtigungsverwaltung

Der Zugriff auf Verwaltungsfunktionen oder -konsolen für Systeme, die virtualisierte Systeme hosten, ist für Mitarbeiter gemäß dem Prinzip der geringsten Rechte eingeschränkt und wird anhand von technischen Steuerungen unterstützt.

ID: 11180.01c3System.6 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Rechte werden formell genehmigt und gesteuert, Benutzern bedarfs- und ereignisabhängig für ihre jeweilige funktionale Rolle (z. B. Benutzer oder Administrator) zugeordnet und für jedes Systemprodukt bzw. -element dokumentiert.

ID: 1143.01c1System.123 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0

Die Organisation autorisiert ausdrücklich den Zugriff auf bestimmte sicherheitsrelevante Funktionen (implementiert in Form von Hardware, Software und Firmware) und sicherheitsrelevante Informationen.

ID: 1144.01c1System.4 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0

Rollenbasierte Zugriffssteuerung ist implementiert und in der Lage, jeden Benutzer mindestens einer Rolle und jede Rolle mindestens einer Systemfunktion zuzuordnen.

ID: 1145.01c2System.1 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. AuditIfNotExists, Disabled 3.0.0

Die Organisation fördert die Entwicklung und den Einsatz von Programmen zur Vermeidung der Ausführung mit erhöhten Rechten sowie von Systemroutinen, mit denen vermieden werden kann, dass Benutzern Berechtigungen gewährt werden müssen.

ID: 1146.01c2System.23 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Externe Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 3.0.0

Erhöhte Rechte werden einer anderen Benutzer-ID als bei der normalen geschäftlichen Nutzung zugewiesen, alle Benutzer greifen in einer einzigen Rolle auf privilegierte Dienste zu, und dieser privilegierte Zugriff wird minimiert.

ID: 1147.01c2System.456 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Veraltete Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Disabled 3.0.0

Die Organisation schränkt den Zugriff auf privilegierte Funktionen und alle sicherheitsrelevanten Informationen ein.

ID: 1148.01c2System.78 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwendung benutzerdefinierter RBAC-Regeln überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Konten“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Konten“ für die Einschränkung der Verwendung lokaler Konten mit leeren Kennwörtern und den Gastkontostatus aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Die Organisation ermöglicht die gemeinsame Nutzung von Informationen, indem sie autorisierten Benutzern ermöglicht, den Zugriff eines Geschäftspartners zu bestimmen, wenn die Ermessensfreiheit, wie von der Organisation definiert, zulässig ist, und indem sie manuelle Prozesse oder automatisierte Mechanismen einsetzt, um Benutzer bei Entscheidungen über die gemeinsame Nutzung von Informationen/Zusammenarbeit zu unterstützen.

ID: 1149.01c2System.9 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. Audit, Disabled 1.0.2

Das Zugriffssteuerungssystem für die Systemkomponenten, mit denen die relevanten Informationen gespeichert, verarbeitet oder übertragen werden, hat als Standardeinstellung „deny-all“ (Alles verweigern).

ID: 1150.01c2System.10 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0

Die Organisation schränkt die Autorisierung auf privilegierte Konten für Informationssysteme auf eine vordefinierte Teilmenge von Benutzern ein.

ID: 1151.01c3System.1 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0

Die Organisation überwacht die Ausführung privilegierter Funktionen für Informationssysteme und stellt sicher, dass Informationssysteme nicht privilegierte Benutzer daran hindern, privilegierte Funktionen auszuführen.

ID: 1152.01c3System.2 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. AuditIfNotExists, Disabled 3.0.0

Alle nicht ausdrücklich erforderlichen Dateisystemzugriffe werden deaktiviert, und nur autorisierten Benutzern wird ausschließlich der Zugriff auf die Daten gestattet, die ausdrücklich für die Erfüllung der Arbeitsaufgaben der Benutzer erforderlich sind.

ID: 1153.01c3System.35 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. Audit, Disabled 1.0.2

Auftragnehmer erhalten nur dann minimalen System- und physischen Zugriff, nachdem die Organisation im Rahmen einer Bewertung die Fähigkeit des Auftragnehmers bestätigt hat, dass er ihre Sicherheitsanforderungen erfüllen kann, und der Auftragnehmer sich dazu verpflichtet hat.

ID: 1154.01c3System.4 - 01.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0

Benutzerauthentifizierung für externe Verbindungen

Sichere Authentifizierungsmethoden, z. B. mehrstufig, Radius oder Kerberos (für privilegierten Zugriff) und CHAP (zur Verschlüsselung von Anmeldeinformationen für Einwahlverfahren), werden für alle externen Verbindungen mit dem Organisationsnetzwerk implementiert.

ID: 1116.01j1Organizational.145 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Remotezugriff durch Lieferanten und Geschäftspartner (z. B. für Remotewartung) ist deaktiviert, wenn er nicht verwendet wird.

ID: 1117.01j1Organizational.23 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Konten mit Schreibberechtigungen für Ihr Abonnement muss MFA aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Organisationen implementieren Verschlüsselung (z. B. VPN-Lösungen oder private Verbindungen) und protokollieren den Remotezugriff von Mitarbeitern, Auftragnehmern oder Dritten (z. B. Lieferanten) auf das Netzwerk der Organisation.

ID: 1118.01j2Organizational.124 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Netzwerkgeräte werden auf unerwartete Einwahlfunktionen überprüft.

ID: 1119.01j2Organizational.3 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Remoteverwaltungssitzungen werden autorisiert und verschlüsselt, und es werden entsprechende erweiterte Sicherheitsmaßnahmen verwendet.

ID: 1121.01j3Organizational.2 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Wenn Verschlüsselung für DFÜ-Verbindungen nicht verwendet wird, stellt der CIO oder sein designierter Vertreter eine spezifische schriftliche Autorisierung bereit.

ID: 1173.01j1Organizational.6 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Konten mit Schreibberechtigungen für Ihr Abonnement muss MFA aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Die Organisation schützt den drahtlosen Zugriff auf Systeme, die vertrauliche Informationen enthalten, indem Benutzer und Geräte authentifiziert werden.

ID: 1174.01j1Organizational.7 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Der Remotezugriff auf Geschäftsinformationen über öffentliche Netzwerke erfolgt nur nach einer vorherigen erfolgreichen Identifikation und Authentifizierung.

ID: 1175.01j1Organizational.8 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Die Organisation verlangt eine Rückruffunktion mit erneuter Authentifizierung, um DFÜ-Verbindungen von autorisierten Standorten zu überprüfen.

ID: 1176.01j2Organizational.5 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Benutzer-IDs, die Lieferanten zugewiesen sind, werden gemäß der Richtlinie für die Zugriffsüberprüfung der Organisation mindestens einmal jährlich überprüft.

ID: 1177.01j2Organizational.6 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Konten mit Schreibberechtigungen für Ihr Abonnement muss MFA aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Knotenauthentifizierung, einschließlich kryptografischer Techniken (z. B. Computerzertifikate), dient als alternatives Mittel zum Authentifizieren von Gruppen von Remotebenutzern, wenn diese mit einer sicheren, gemeinsam genutzten Computereinrichtung verbunden sind.

ID: 1178.01j2Organizational.7 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Das Informationssystem überwacht und steuert Remotezugriffsmethoden.

ID: 1179.01j3Organizational.1 - 01.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Remotediagnose und Schutz von Konfigurationsports

Der Zugriff auf die Netzwerkgeräte ist physisch geschützt.

ID: 1192.01l1Organizational.1 - 01.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Die Steuerungen für den Zugriff auf Diagnose- und Konfigurationsports umfassen eine Schlüsselsperre und die Implementierung von unterstützenden Verfahren zum Steuern des physischen Zugriffs auf den Port.

ID: 1193.01l2Organizational.13 - 01.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0

Ports, Dienste und ähnliche Anwendungen, die auf einem Computer oder in Netzwerksystemen installiert und für den Geschäftsablauf nicht unbedingt erforderlich sind, werden deaktiviert oder entfernt.

ID: 1194.01l2Organizational.2 - 01.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für eine App Service-App. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0

Die Organisation überprüft das Informationssystem jeweils innerhalb von dreihundertfünfundsechzig (365) Tagen, um nicht benötigte und unsichere Funktionen, Ports, Protokolle bzw. Dienste zu identifizieren und zu deaktivieren.

ID: 1195.01l3Organizational.1 - 01.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für Funktions-Apps. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0

Die Organisation deaktiviert die Bluetooth- und Peer-to-Peer-Netzwerkprotokolle im Informationssystem, die als nicht erforderlich oder unsicher eingestuft wurden.

ID: 1197.01l3Organizational.3 - 01.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0

Trennung in Netzwerken

Mit den Sicherheitsgateways der Organisation (z. B. Firewalls) werden Sicherheitsrichtlinien erzwungen, und sie sind für die Filterung von Datenverkehr zwischen Domänen und die Blockierung von unberechtigtem Zugriff konfiguriert. Außerdem werden sie genutzt, um die Trennung zwischen internen kabelgebundenen, internen drahtlosen sowie externen Netzwerksegmenten (z. B. dem Internet), z. B. DMZ, zu verwalten und die Zugriffssteuerungsrichtlinien für die einzelnen Domänen zu erzwingen.

ID: 0805.01m1Organizational.12 - 01.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0-preview
App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden Verwenden Sie VNet-Dienstendpunkte, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem virtuellen Azure-Netzwerk einzuschränken. Weitere Informationen zu App Service-Dienstendpunkten finden Sie unter https://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.0
Cosmos DB sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
Event Hub sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht jeden Event Hub, der nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert ist. AuditIfNotExists, Disabled 1.0.0
Gatewaysubnetze dürfen nicht mit einer Netzwerksicherheitsgruppe konfiguriert werden Diese Richtlinie lehnt Gatewaysubnetze ab, die mit einer Netzwerksicherheitsgruppe konfiguriert sind. Das Zuweisen einer Netzwerksicherheitsgruppe zu einem Gatewaysubnetz führt dazu, dass das Gateway nicht mehr funktioniert. deny 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Key Vault sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Key Vault-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
SQL Server sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle SQL Server-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
Speicherkonten sollten einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. Audit, Deny, Disabled 1.0.0

Das Netzwerk der Organisation ist logisch und physisch segmentiert mit einem definierten Sicherheitsperimeter und einem abgestuften Satz von Steuerungen, einschließlich Subnetzwerken für öffentlich zugängliche Systemkomponenten, die logisch vom internen Netzwerk getrennt sind (basierend auf den Anforderungen der Organisation). Der Datenverkehr wird auf der Grundlage der erforderlichen Funktionalität und der Klassifizierung der Daten/Systeme basierend auf einer Risikobewertung und ihrer jeweiligen Sicherheitsanforderungen gesteuert.

ID: 0806.01m2Organizational.12356 - 01.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0-preview
App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden Verwenden Sie VNet-Dienstendpunkte, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem virtuellen Azure-Netzwerk einzuschränken. Weitere Informationen zu App Service-Dienstendpunkten finden Sie unter https://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.0
Cosmos DB sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
Event Hub sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht jeden Event Hub, der nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert ist. AuditIfNotExists, Disabled 1.0.0
Gatewaysubnetze dürfen nicht mit einer Netzwerksicherheitsgruppe konfiguriert werden Diese Richtlinie lehnt Gatewaysubnetze ab, die mit einer Netzwerksicherheitsgruppe konfiguriert sind. Das Zuweisen einer Netzwerksicherheitsgruppe zu einem Gatewaysubnetz führt dazu, dass das Gateway nicht mehr funktioniert. deny 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Key Vault sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Key Vault-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
SQL Server sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle SQL Server-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
Speicherkonten sollten einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. Audit, Deny, Disabled 1.0.0

Bei der Migration von physischen Servern, Anwendungen oder Daten zu virtualisierten Servern werden Netzwerke von den Netzwerken getrennt, die für die Produktionsebene bestimmt sind.

ID: 0894.01m2Organizational.7 - 01.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0-preview
App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden Verwenden Sie VNet-Dienstendpunkte, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem virtuellen Azure-Netzwerk einzuschränken. Weitere Informationen zu App Service-Dienstendpunkten finden Sie unter https://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.0
Cosmos DB sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
Beim Erstellen virtueller Netzwerke Network Watcher bereitstellen Diese Richtlinie erstellt eine Network Watcher-Ressource in Regionen mit virtuellen Netzwerken. Sie müssen sicherstellen, dass eine Ressourcengruppe namens „networkWatcherRG“ vorhanden ist, die zum Bereitstellen von Network Watcher-Instanzen verwendet wird. Auswirkung „DeployIfNotExists“ 1.0.0
Event Hub sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht jeden Event Hub, der nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert ist. AuditIfNotExists, Disabled 1.0.0
Gatewaysubnetze dürfen nicht mit einer Netzwerksicherheitsgruppe konfiguriert werden Diese Richtlinie lehnt Gatewaysubnetze ab, die mit einer Netzwerksicherheitsgruppe konfiguriert sind. Das Zuweisen einer Netzwerksicherheitsgruppe zu einem Gatewaysubnetz führt dazu, dass das Gateway nicht mehr funktioniert. deny 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Key Vault sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Key Vault-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
SQL Server sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle SQL Server-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
Speicherkonten sollten einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. Audit, Deny, Disabled 1.0.0

Steuerung von Netzwerkverbindungen

ID: 0809.01n2Organizational.1234 - 01.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. Audit, Deny, Disabled 1.0.0

Die übertragenen Informationen sind geschützt und werden mindestens über offen zugängliche öffentliche Netzwerke verschlüsselt.

ID: 0810.01n2Organizational.5 - 01.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. Audit, Deny, Disabled 1.0.0

Ausnahmen von der Datenverkehrsflussrichtlinie werden mit einer unterstützenden Unternehmens-/Geschäftsanforderung und einer Dauer der Ausnahme dokumentiert sowie mindestens jährlich geprüft. Ausnahmen von der Datenverkehrsflussrichtlinie werden entfernt, wenn sie nicht mehr von einer expliziten Unternehmens-/Geschäftsanforderung unterstützt werden.

ID: 0811.01n2Organizational.6 - 01.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. Audit, Deny, Disabled 1.0.0

Remotegeräte, die eine andere Verbindung als eine Remoteverbindung herstellen, dürfen mit externen Ressourcen (Remoteressourcen) nicht kommunizieren.

ID: 0812.01n2Organizational.8 - 01.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. Audit, Deny, Disabled 1.0.0

Die Möglichkeit von Benutzern, eine Verbindung mit dem internen Netzwerk herzustellen, wird entsprechend der Zugriffssteuerungsrichtlinie und der Anforderungen von klinischen Anwendungen und Geschäftsanwendungen mit einer Richtlinie zur standardmäßigen Verweigerung von Programmen und ausnahmebasierten Zulassung auf verwalteten Schnittstellen eingeschränkt.

ID: 0814.01n1Organizational.12 - 01.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. Audit, Deny, Disabled 1.0.0

Identifizierung und Authentifizierung von Benutzern

Die Organisation stellt sicher, dass redundante Benutzer-IDs nicht für andere Benutzer ausgestellt werden und dass alle Benutzer sowohl beim lokalen als auch beim Remotezugriff auf Informationssysteme eindeutig identifiziert und authentifiziert werden.

ID: 11109.01q1Organizational.57 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Nicht-Organisationsbenutzer (alle Informationssystembenutzer, die keine Organisationsbenutzer sind, z. B. Patienten, Kunden, Auftragnehmer oder Ausländer) oder Prozesse, die im Namen von Nicht-Organisationsbenutzern agieren und Zugang zu den Informationen in den Informationssystemen der Organisation benötigen, werden eindeutig identifiziert und authentifiziert.

ID: 11110.01q1Organizational.6 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Konten mit Schreibberechtigungen für Ihr Abonnement muss MFA aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Wenn PKI-basierte Authentifizierung verwendet wird, validiert das Informationssystem Zertifikate, indem es einen Zertifizierungspfad zu einem akzeptierten Vertrauensanker erstellt und verifiziert, einschließlich der Überprüfung von Zertifikatstatusinformationen. Es erzwingt den Zugriff auf den entsprechenden privaten Schlüssel, ordnet die Identität dem entsprechenden Konto der Einzelperson oder Gruppe zu und implementiert einen lokalen Cache für Sperrinformationen, um die Pfadermittlung und -validierung für den Fall zu unterstützen, dass über das Netzwerk nicht auf Sperrinformationen zugegriffen werden kann.

ID: 11111.01q2System.4 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0

Das Informationssystem verwendet wiedergaberesistente Authentifizierungsmechanismen wie Nonce, Einmalkennwörter oder Zeitstempel, um den Netzwerkzugang für privilegierte Konten zu schützen. Für die auf Hardwaretoken basierende Authentifizierung werden Mechanismen verwendet, die die unter „NIST SP 800-63-2: Richtlinie zur elektronischen Authentifizierung“ beschriebenen Mindestanforderungen an Token erfüllen.

ID: 11112.01q2Organizational.67 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0

Die Organisation erzwingt, dass elektronische Signaturen, die für eine einzelne Person eindeutig sind, von anderen Personen nicht wiederverwendet oder erneut zugewiesen werden können.

ID: 11208.01q1Organizational.8 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. AuditIfNotExists, Disabled 3.0.0

Elektronische und handschriftliche Signaturen, die für elektronische Datensätze ausgeführt werden, müssen mit den entsprechenden elektronischen Datensätzen verknüpft sein.

ID: 11210.01q2Organizational.10 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. auditIfNotExists 2.0.0

Signierte elektronische Datensätze müssen die für den Signiervorgang benötigten Informationen in einem für Menschen lesbaren Format enthalten.

ID: 11211.01q2Organizational.11 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. auditIfNotExists 2.0.0

Benutzer, die privilegierte Funktionen übernommen haben (z. B. Systemadministration), nutzen dabei separate Konten.

ID: 1123.01q1System.2 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer überwachen, die zusätzliche Konten in der Administratorgruppe enthalten Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe Mitglieder enthält, die im Richtlinienparameter nicht angegeben sind. auditIfNotExists 2.0.0

Methoden für die mehrstufige Authentifizierung werden gemäß der Organisationsrichtlinie (z. B. für den Remotenetzwerkzugriff) verwendet.

ID: 1125.01q2System.1 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. auditIfNotExists 2.0.0

Falls für die mehrstufige Authentifizierung Token bereitgestellt werden, ist vor dem Gewähren des Zugriffs eine persönliche Authentifizierung erforderlich.

ID: 1127.01q2System.3 - 01.q Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. auditIfNotExists 2.0.0

Der Zugriff auf die Informationen und Systeme der Organisation durch externe Parteien ist erst zulässig, nachdem eine sorgfältige Überprüfung durchgeführt wurde, die entsprechenden Steuerungen implementiert wurden und ein Vertrag bzw. eine Vereinbarung über die Sicherheitsanforderungen signiert wurde, um zu bestätigen, dass die Partei ihre Verpflichtungen versteht und akzeptiert.

ID: 1401.05i1Organizational.1239 - 05.i Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0

Remotezugriffsverbindungen zwischen der Organisation und externen Parteien werden verschlüsselt.

ID: 1402.05i1Organizational.45 - 05.i Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Zugriff auf Funktionsanwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 3.0.0

Der externen Parteien gewährte Zugriff ist auf das erforderliche Minimum beschränkt und wird nur für den erforderlichen Zeitraum gewährt.

ID: 1403.05i1Organizational.67 - 05.i Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 3.0.0

ID: 1418.05i1Organizational.8 - 05.i Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1

Die Organisation erhält zufriedenstellende Zusicherungen, dass es in ihrer gesamten Informationslieferkette eine angemessene Informationssicherheit gibt. Dazu wird eine jährliche Prüfung durchgeführt, die alle Partner bzw. Drittanbieter umfasst, von denen ihre Informationslieferkette abhängig ist.

ID: 1450.05i2Organizational.2 - 05.i Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1

Clouddienstanbieter entwerfen und implementieren Steuerungen, um Risiken in Bezug auf die Datensicherheit zu entschärfen und zu minimieren, indem eine entsprechende Aufgabentrennung, rollenbasierte Zugriffssteuerung und der Zugriff mit den geringsten Rechten für das gesamte Personal der Lieferkette sichergestellt wird.

ID: 1451.05iCSPOrganizational.2 - 05.i Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0

Überwachungsprotokollierung

Für alle Aktivitäten im System (Erstellen, Lesen, Aktualisieren, Löschen), die sich auf die abgedeckten Informationen beziehen, wird ein sicherer Überwachungsdatensatz erstellt.

ID: 1202.09aa1System.1 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
Systemupdates für VM-Skalierungsgruppen sollten installiert werden Hiermit überprüfen Sie, ob Systemsicherheitsupdates und kritische Updates fehlen, durch deren Installation sichergestellt werden soll, dass Ihre Windows- und Linux-VM-Skalierungsgruppen sicher sind. AuditIfNotExists, Disabled 3.0.0

Zu den Überprüfungsdatensätzen gehören die eindeutige Benutzer-ID, die eindeutige Data Subject-ID, die durchgeführte Funktion und das Datum bzw. die Uhrzeit des Ereignisses.

ID: 1203.09aa1System.2 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
In Logic Apps müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0

Die Aktivitäten von privilegierten Benutzern (Administratoren, Operators usw.) umfassen den Erfolg bzw. Misserfolg des Ereignisses, den Zeitpunkt des Ereignisses, das verwendete Konto, die beteiligten Prozesse sowie weitere Informationen zum Ereignis.

ID: 1204.09aa1System.3 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
In IoT Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.0.1

Es werden Protokolle mit gesendeten und empfangenen Nachrichten geführt. Sie enthalten Informationen wie Datum, Uhrzeit, Ursprung und Ziel der Nachricht, aber nicht ihren Inhalt.

ID: 1205.09aa2System.1 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0

Die Überwachung ist immer verfügbar, während das System aktiv ist, und die folgenden wichtigen Ereignisse werden nachverfolgt: Erfolg/Fehler für Datenzugriff, Änderungen an der Sicherheitskonfiguration des Systems, privilegierte Nutzung oder Hilfsprogrammnutzung, ausgelöste Alarme,Aktivierung/Deaktivierung von Schutzsystemen (z. B. A/V und IDS), Aktivierung/Deaktivierung von Identifikations- und Authentifizierungsmechanismen und Erstellung und Löschung von Objekten auf Systemebene.

ID: 1206.09aa2System.23 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
In Virtual Machine Scale Sets müssen Ressourcenprotokolle aktiviert sein Es wird empfohlen, die Protokollierung zu aktivieren. So können Sie Aktivitäten nachvollziehen, wenn bei einem Incident oder einer Beeinträchtigung Untersuchungen durchgeführt werden müssen. AuditIfNotExists, Disabled 2.1.0

Überwachungsdatensätze werden 90 Tage lang aufbewahrt, und ältere Überwachungsdatensätze werden ein Jahr lang archiviert.

ID: 1207.09aa2System.4 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0

Überwachungsprotokolle werden für Verwaltungsaktivitäten, Ereignisse vom Typ „Start“, „Herunterfahren“ oder „Fehler“ für Systeme und Anwendungen, Dateiänderungen und Änderungen von Sicherheitsrichtlinien geführt.

ID: 1208.09aa3System.1 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0

Das Informationssystem generiert Überwachungsdatensätze, die die folgenden ausführlichen Informationen enthalten: (i) Dateiname des Zugriffs, (ii) Programm oder Befehl für die Initiierung des Ereignisses und (iii) Quell- und Zieladressen.

ID: 1209.09aa3System.2 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1

Alle Offenlegungen der relevanten Informationen innerhalb oder außerhalb der Organisation werden protokolliert, z. B. Art der Offenlegung, Datum/Uhrzeit des Ereignisses, Empfänger und Absender.

ID: 1210.09aa3System.3 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Überwachen der Diagnoseeinstellung Hiermit wird die Diagnoseeinstellung für ausgewählte Ressourcentypen überwacht. Auswirkung „AuditIfNotExists“ 1.1.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0

Die Organisation überprüft alle neunzig (90) Tage für jede Extraktion von aufgezeichneten abgedeckten Informationen, ob die Daten gelöscht wurden oder weiterhin benötigt werden.

ID: 1211.09aa3System.4 - 09.aa Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
In einem verwalteten Azure Key Vault-HSM müssen Ressourcenprotokolle aktiviert sein Sie können eine Überwachung durchführen, indem Sie Ressourcenprotokolle für verwaltete HSMs aktivieren. Auf diese Weise können Sie zu Untersuchungszwecken vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. Befolgen Sie die hier aufgeführten Anweisungen: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.0.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0

Verwendung des Überwachungssystems

Nicht autorisierte Remoteverbindungen mit den Informationssystemen werden mindestens vierteljährlich überwacht und überprüft, und es werden entsprechende Maßnahmen ergriffen, wenn eine nicht autorisierte Verbindung erkannt wird.

ID: 1120.09ab3System.9 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Monitor muss Aktivitätsprotokolle aus allen Regionen erfassen Diese Richtlinie überwacht das Azure Monitor-Protokollprofil darauf, dass keine Aktivitäten aus allen unterstützten Azure-Regionen, einschließlich „Global“, exportiert werden. AuditIfNotExists, Disabled 2.0.0

Die Organisation überwacht das Informationssystem zur Identifizierung von Unregelmäßigkeiten oder Anomalien, die ein Hinweis auf eine Fehlfunktion oder Kompromittierung des Systems sein können und die Bestätigung ermöglichen, dass das System funktioniert und sich in einem optimalen, resilienten und sicheren Zustand befindet.

ID: 12100.09ab2System.15 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein Diese Richtlinie überwacht, ob auf allen Windows-/Linux-VMs die Log Analytics-Erweiterung installiert ist. AuditIfNotExists, Disabled 1.0.1

Die Organisation gibt an, wie häufig Überwachungsprotokolle überprüft werden und wie dies dokumentiert wird. Darüber hinaus werden die spezifischen Rollen und Verantwortlichkeiten der Mitarbeiter angegeben, die die Überprüfungen durchführen, z. B. die beruflichen Zertifizierungen oder andere erforderliche Qualifikationen.

ID: 12101.09ab1Organizational.3 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Die Log Analytics-Erweiterung sollte für VM-Skalierungsgruppen installiert sein Diese Richtlinie überwacht alle Windows-/Linux-VM-Skalierungsgruppen, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1

Die Organisation führt regelmäßig Tests ihrer Überwachungs- und Erkennungsprozesse durch, behebt Mängel und verbessert die Prozesse.

ID: 12102.09ab1Organizational.4 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer überwachen, auf denen der Log Analytics-Agent nicht wie erwartet verbunden ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Agent nicht installiert ist, oder wenn er installiert ist, das COM-Objekt „AgentConfigManager.MgmtSvcCfg“ jedoch zurückgibt, dass er nicht bei dem Arbeitsbereich registriert ist, der der im Richtlinienparameter angegebenen ID entspricht. auditIfNotExists 2.0.0

ID: 1212.09ab1System.1 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Das Azure Monitor-Protokollprofil muss Protokolle für die Kategorien „write“, „delete“ und „action“ erfassen Diese Richtlinie stellt sicher, dass ein Protokollprofil Protokolle für die Kategorien „write“, „delete“ und „action“ sammelt. AuditIfNotExists, Disabled 1.0.0

Automatisierte Systeme, die in der gesamten Umgebung der Organisation bereitgestellt werden, werden verwendet, um wichtige Ereignisse und anomale Aktivitäten zu überwachen und Systemprotokolle zu analysieren, deren Ergebnisse regelmäßig überprüft werden.

ID: 1213.09ab2System.128 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. AuditIfNotExists, Disabled 1.0.1

Die Überwachung umfasst privilegierte Vorgänge, autorisierten Zugriff oder nicht autorisierte Zugriffsversuche, z. B. versuchter Zugriff auf deaktivierte Konten, sowie Systemwarnungen oder Fehler.

ID: 1214.09ab2System.3456 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Monitor muss Aktivitätsprotokolle aus allen Regionen erfassen Diese Richtlinie überwacht das Azure Monitor-Protokollprofil darauf, dass keine Aktivitäten aus allen unterstützten Azure-Regionen, einschließlich „Global“, exportiert werden. AuditIfNotExists, Disabled 2.0.0

Für die von der Organisation genutzten Überprüfungs- und Überwachungssysteme wird die Überwachungsreduzierung und Berichterstellung unterstützt.

ID: 1215.09ab2System.7 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein Diese Richtlinie überwacht, ob auf allen Windows-/Linux-VMs die Log Analytics-Erweiterung installiert ist. AuditIfNotExists, Disabled 1.0.1

Automatisierte Systeme werden verwendet, um die Überwachungsaktivitäten von Sicherheitssystemen (z. B. IPS/IDS) und die Systemdatensätze täglich zu überprüfen und Anomalien zu identifizieren und zu dokumentieren.

ID: 1216.09ab3System.12 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Die Log Analytics-Erweiterung sollte für VM-Skalierungsgruppen installiert sein Diese Richtlinie überwacht alle Windows-/Linux-VM-Skalierungsgruppen, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1

Für technische Mitarbeiter werden Warnungen generiert, um die Analyse und Untersuchung von verdächtigen Aktivitäten oder vermuteten Verstößen zu ermöglichen.

ID: 1217.09ab3System.3 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer überwachen, auf denen der Log Analytics-Agent nicht wie erwartet verbunden ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Agent nicht installiert ist, oder wenn er installiert ist, das COM-Objekt „AgentConfigManager.MgmtSvcCfg“ jedoch zurückgibt, dass er nicht bei dem Arbeitsbereich registriert ist, der der im Richtlinienparameter angegebenen ID entspricht. auditIfNotExists 2.0.0

Das Informationssystem kann Überwachungsdatensätze für relevante Ereignisse auf der Grundlage auswählbarer Kriterien automatisch verarbeiten.

ID: 1219.09ab3System.10 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Das Azure Monitor-Protokollprofil muss Protokolle für die Kategorien „write“, „delete“ und „action“ erfassen Diese Richtlinie stellt sicher, dass ein Protokollprofil Protokolle für die Kategorien „write“, „delete“ und „action“ sammelt. AuditIfNotExists, Disabled 1.0.0

Die Überwachung umfasst die eingehende und ausgehende Kommunikation sowie die Dateiintegrität.

ID: 1220.09ab3System.56 - 09.ab Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. AuditIfNotExists, Disabled 1.0.1

Administrator- und Bedienerprotokolle

Die Organisation stellt sicher, dass die korrekte Protokollierung aktiviert ist, um Administratoraktivitäten zu überwachen. Die Systemadministrator- und Bedienerprotokolle werden regelmäßig überprüft.

ID: 1270.09ad1System.12 - 09.ad Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0

Ein Angriffserkennungssystem, das außerhalb der Kontrolle von System- und Netzwerkadministratoren verwaltet wird, wird verwendet, um die System- und Netzwerkverwaltungsaktivitäten auf Compliance zu überwachen.

ID: 1271.09ad1System.1 - 09.ad Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0

Aufgabentrennung

Die Aufgabentrennung wird verwendet, um das Risiko einer nicht autorisierten oder unbeabsichtigten Änderung von Informationen und Systemen einzuschränken.

ID: 1229.09c1Organizational.1 - 09.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. Audit, Disabled 1.0.2

Einzelpersonen können ohne Autorisierung oder Erkennung nicht auf Informationssysteme zugreifen und diese nicht ändern oder nutzen.

ID: 1230.09c2Organizational.1 - 09.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verwendung benutzerdefinierter RBAC-Regeln überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.0

ID: 1232.09c3Organizational.12 - 09.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Zuweisen von Benutzerrechten“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Zuweisen von Benutzerrechten“ für lokale Anmeldung, RDP, Zugriff aus dem Netzwerk und viele weitere Benutzeraktivitäten aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Die Initiierung eines Ereignisses ist von seiner Autorisierung getrennt, um die Gefahr von Absprachen zu reduzieren.

ID: 1277.09c2Organizational.4 - 09.c Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Benutzerkontensteuerung“ für Administratormodus, Verhalten der Eingabeaufforderung für erhöhte Rechte und die Virtualisierung von Fehlern bei Schreibvorgängen für Dateien und Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Steuerungen als Schutz vor Schadcode

Antiviren- und Antispywaresoftware ist auf allen Endbenutzergeräten installiert und wird ausgeführt und aktualisiert, damit regelmäßige Scans des Systems durchgeführt werden können, um nicht autorisierte Software zu identifizieren und zu entfernen. In Serverumgebungen, für die vom Entwickler der Serversoftware empfohlen wird, keine hostbasierte Antiviren- und Antispywaresoftware zu installieren, kann diese Anforderung mit einer netzwerkbasierten Lösung zur Schadsoftwareerkennung erfüllt werden.

ID: 0201.09j1Organizational.124 - 09.j Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0
Microsoft IaaSAntimalware-Standarderweiterung für Windows Server bereitstellen Mit dieser Richtlinie wird eine Microsoft IaaSAntimalware-Erweiterung mit einer Standardkonfiguration bereitgestellt, wenn eine VM nicht mit der Antischadsoftware-Erweiterung konfiguriert ist. deployIfNotExists 1.1.0
Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. AuditIfNotExists, Disabled 3.0.0
Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein Diese Richtlinie überwacht alle virtuellen Windows-Computer, die nicht für die automatische Aktualisierung von Microsoft Antimalware-Schutzsignaturen konfiguriert sind. AuditIfNotExists, Disabled 1.0.0
Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Systemupdates sollten auf Ihren Computern installiert sein Hiermit werden fehlende Sicherheitssystemupdates auf Ihren Servern über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 4.0.0

Sichern

Sicherungskopien von Informationen und Softwareanwendungen werden erstellt, und in geeigneten Abständen werden regelmäßige Tests der Medien und Wiederherstellungsvorgänge durchgeführt.

ID: 1616.09l1Organizational.16 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0

ID: 1617.09l1Organizational.23 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1

Die Sicherungen werden an einem physisch geschützten Remotespeicherort gespeichert, der ausreichend Abstand hat, um sie in angemessener Weise vor Datenbeschädigungen am primären Standort zu schützen. Außerdem gibt es angemessene physische Kontrollen und Umgebungskontrollen, um für den Schutz der Sicherungen am Remotestandort zu sorgen.

ID: 1618.09l1Organizational.45 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1

Bestandsdatensätze für die Sicherungskopien, einschließlich Inhalt und aktuellem Speicherort, werden erstellt und gepflegt.

ID: 1619.09l1Organizational.7 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1

Wenn der Sicherungsdienst vom Drittanbieter bereitgestellt wird, enthält die Vereinbarung zum Servicelevel die ausführlichen Schutzmaßnahmen zum Kontrollieren der Vertraulichkeit, Integrität und Verfügbarkeit der Sicherungsinformationen.

ID: 1620.09l1Organizational.8 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 3.0.0

Für die Nachverfolgung aller Sicherungen werden automatisierte Tools genutzt.

ID: 1621.09l2Organizational.1 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0

Die Integrität und Sicherheit der Sicherungskopien wird aufrechterhalten, um die zukünftige Verfügbarkeit sicherzustellen, und alle potenziellen Barrierefreiheitsprobleme in Bezug auf die Sicherungskopien werden bei einem bereichsweiten Notfall identifiziert und behoben.

ID: 1622.09l2Organizational.23 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1

Abgedeckte Informationen werden in einem verschlüsselten Format gesichert, um die Vertraulichkeit zu gewährleisten.

ID: 1623.09l2Organizational.4 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1

Die Organisation führt täglich inkrementelle oder differenzielle Sicherungen und wöchentlich vollständige Sicherungen auf separaten Medien durch.

ID: 1624.09l3Organizational.12 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1

ID: 1625.09l3Organizational.34 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 3.0.0

Die Organisation stellt sicher, dass eine aktuelle, abrufbare Kopie der abgedeckten Informationen vor dem Verschieben von Servern zur Verfügung steht.

ID: 1626.09l3Organizational.5 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1

Die Organisation testet Sicherungsinformationen nach jeder Sicherung, um die Zuverlässigkeit der Medien und die Datenintegrität zu überprüfen, und anschließend mindestens einmal jährlich.

ID: 1627.09l3Organizational.6 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1

Die Rollen und Verantwortlichkeiten von Mitarbeitern werden während des Datensicherungsprozesses identifiziert, und die Mitarbeiter werden darüber informiert. BYOD-Benutzer (Bring Your Own Device) müssen auf ihren Geräten Sicherungsvorgänge für Organisations- bzw. Clientdaten durchführen.

ID: 1699.09l1Organizational.10 - 09.l Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 3.0.0

Netzwerksteuerungen

Die Organisation überwacht den gesamten autorisierten und nicht autorisierten WLAN-Zugriff auf das Informationssystem und verbietet die Installation von WLAN-Zugriffspunkten (Wireless Access Points, WAPs), sofern dies vom CIO bzw. seiner designierten Vertretung nicht ausdrücklich schriftlich genehmigt wurde.

ID: 0858.09m1Organizational.4 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Windows-Firewalleigenschaften“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Firewalleigenschaften“ für Firewallzustand, Verbindungen, Regelverwaltung und Benachrichtigungen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Die Organisation stellt die Sicherheit von Informationen in Netzwerken, die Verfügbarkeit von Netzwerkdiensten und auf dem Netzwerk basierenden Informationsdiensten sowie den Schutz von verbundenen Diensten vor nicht autorisiertem Zugriff sicher.

ID: 0859.09m1Organizational.78 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0

Die Organisation führt eine formelle Verwaltung der Geräte des Netzwerks durch. Dies gilt auch für die Geräte in den Benutzerbereichen.

ID: 0860.09m1Organizational.9 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Diagnoseeinstellungen für Netzwerksicherheitsgruppen bereitstellen Diese Richtlinie stellt automatisch Diagnoseeinstellungen für Netzwerksicherheitsgruppen bereit. Es wird automatisch ein Speicherkonto mit dem Namen „{storagePrefixParameter}{NSGLocation}“ erstellt. deployIfNotExists 2.0.0

Zum Identifizieren und Authentifizieren von Geräten in LANs und/oder WANs, z. B. drahtlosen Netzwerken, wird vom Informationssystem entweder eine (i) Lösung zur Freigabe bekannter Informationen oder (ii) eine Lösung für die Authentifizierung in der Organisation verwendet. Die jeweilige Art und Sicherheit der Lösung richtet sich nach der Sicherheitskategorisierung des Informationssystems.

ID: 0861.09m2Organizational.67 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden Verwenden Sie VNet-Dienstendpunkte, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem virtuellen Azure-Netzwerk einzuschränken. Weitere Informationen zu App Service-Dienstendpunkten finden Sie unter https://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerkzugriff“ für anonyme Benutzer, lokale Konten und den Remotezugriff auf die Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Die Organisation stellt sicher, dass für die Informationssysteme die Vertraulichkeit und Integrität der übertragenen Informationen geschützt wird. Dies gilt auch für die Vorbereitung für die Übertragung und während des Empfangsprozesses.

ID: 0862.09m2Organizational.8 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
SQL Server sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle SQL Server-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. AuditIfNotExists, Disabled 1.0.0

Die Organisation erstellt eine Firewallkonfiguration, die Verbindungen zwischen nicht vertrauenswürdigen Netzwerken und allen Systemkomponenten in der abgedeckten Informationsumgebung einschränkt, und alle Änderungen an der Firewallkonfiguration werden im Netzwerkdiagramm aktualisiert.

ID: 0863.09m2Organizational.910 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Event Hub sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht jeden Event Hub, der nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert ist. AuditIfNotExists, Disabled 1.0.0

Nutzungsbeschränkungen und Implementierungsrichtlinien für VoIP (Voice over IP), z. B. zur Autorisierung und Überwachung des Diensts, werden formell definiert.

ID: 0864.09m2Organizational.12 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Cosmos DB sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0

Die Organisation (i) autorisiert Verbindungen des Informationssystems mit anderen Informationssystemen außerhalb der Organisation durch die Verwendung von Vereinbarungen zur Verbindungssicherheit (Interconnection Security Agreements) oder einer anderen formellen Vereinbarung, (ii) dokumentiert jede Verbindung, Schnittstellenmerkmale, Sicherheitsanforderungen und die Art der übermittelten Informationen, (iii) nutzt eine Richtlinie vom Typ „Alles verweigern, ausnahmebasierte Zulassung“, um Verbindungen zwischen dem Informationssystem und anderen Informationssystemen außerhalb der Organisation zuzulassen, und (iv) wendet eine Standardregel zur Verweigerung an, bei der der gesamte Datenverkehr über hostbasierte Firewalls oder Portfiltertools an den zugehörigen Endpunkten (Arbeitsstationen, Server usw.) bis auf die explizit zulässigen Dienste und Ports verworfen wird.

ID: 0865.09m2Organizational.13 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Key Vault sollte einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Key Vault-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0

Die Organisation beschreibt die Gruppen, Rollen und Verantwortlichkeiten für die logische Verwaltung von Netzwerkkomponenten und stellt die Koordination und Konsistenz in den Elementen der Netzwerkinfrastruktur sicher.

ID: 0866.09m3Organizational.1516 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1

WLAN-Zugangspunkte werden in sicheren Bereichen angeordnet und heruntergefahren, wenn sie nicht benötigt werden (z. B. während der Nacht oder an Wochenenden).

ID: 0867.09m3Organizational.17 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Speicherkonten sollten einen VNET-Dienstendpunkt verwenden Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0

Die Organisation erstellt eine Firewallkonfiguration, um den ein- und ausgehenden Datenverkehr auf das für die abgedeckte Datenumgebung erforderliche Maß zu beschränken.

ID: 0868.09m3Organizational.18 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0-preview

Die Konfigurationsdateien des Routers sind geschützt und werden synchronisiert.

ID: 0869.09m3Organizational.19 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0-preview

Der Zugriff auf alle Proxys wird verweigert, mit Ausnahme der Hosts, Ports und Dienste, die ausdrücklich erforderlich sind.

ID: 0870.09m3Organizational.20 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0-preview

Autoritative DNS-Server werden in interne und externe Rollen aufgeteilt.

ID: 0871.09m3Organizational.22 - 09.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. Audit, Disabled 1.0.0-preview

Sicherheit von Netzwerkdiensten

Zulässige Dienste, die von einem Netzwerkdienstanbieter/Manager bereitgestellt werden, werden formal verwaltet und überwacht, um für die Sicherheit der Bereitstellung zu sorgen.

ID: 0835.09n1Organizational.1 - 09.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0

Die Organisation autorisiert und dokumentiert die Merkmale jeder Verbindung zwischen einem Informationssystem und anderen Informationssystemen außerhalb der Organisation auf formelle Weise.

ID: 0836.09.n2Organizational.1 - 09.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview

Formelle Vereinbarungen mit externen Informationssystemanbietern enthalten bestimmte Sicherheits- und Datenschutzanforderungen.

ID: 0837.09.n2Organizational.2 - 09.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0

Die Organisation überprüft und aktualisiert die Vereinbarungen für die Verbindungssicherheit fortlaufend und stellt sicher, dass die Sicherheitsanforderungen durchgesetzt werden.

ID: 0885.09n2Organizational.3 - 09.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview

Die Organisation verwendet und dokumentiert in einer formellen Vereinbarung oder einem anderen Dokument entweder eine Richtlinie vom Typ i) „Alles zulassen, ausnahmebasierte Verweigerung“ oder ii) „Alles verweigern, ausnahmebasierte Zulassung“ (bevorzugt), um bestimmten Informationssystemen zu erlauben, eine Verbindung mit externen Informationssystemen herzustellen.

ID: 0886.09n2Organizational.4 - 09.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0

Die Organisation verlangt von externen bzw. outgesourcten Dienstanbietern eine Identifizierung der spezifischen Funktionen, Ports und Protokolle, die bei der Bereitstellung der externen bzw. outgesourcten Dienste genutzt werden.

ID: 0887.09n2Organizational.5 - 09.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview

Der Vertrag mit dem externen/outgesourcten Dienstanbieter umfasst die Spezifikation, dass der Dienstanbieter für den Schutz der gemeinsam genutzten Informationen verantwortlich ist.

ID: 0888.09n2Organizational.6 - 09.n Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0

Verwaltung von Wechselmedien

Die Organisation registriert Medien (einschließlich Laptops) vor der Nutzung basierend auf der Datenklassifizierungsebene, legt angemessene Einschränkungen zur Nutzung dieser Medien fest und richtet einen angemessenen Grad an physischem und logischem Schutz (einschließlich Verschlüsselung) für Medien mit relevanten Informationen ein, bis diese korrekt zerstört oder bereinigt wurden.

ID: 0301.09o1Organizational.123 - 09.o Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Transparent Data Encryption für SQL-Datenbanken aktivieren TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Disabled 2.0.0

Die Organisation schützt und kontrolliert Medien mit vertraulichen Informationen während des Transports außerhalb der Kontrollbereiche.

ID: 0302.09o2Organizational.1 - 09.o Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison). AuditIfNotExists, Disabled 2.0.3

Die Organisation schränkt die Verwendung von beschreibbaren Wechselmedien und persönlichen Wechselmedien in Organisationssystemen ein.

ID: 0304.09o3Organizational.1 - 09.o Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Verschlüsselung für Data Lake Storage-Konten erzwingen Diese Richtlinie stellt sicher, dass die Verschlüsselung für alle Data Lake Storage-Konten aktiviert ist. deny 1.0.0
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.1

Richtlinien und Verfahren für den Informationsaustausch

Cloud-Dienstanbieter nutzen eine branchenübliche Virtualisierungsplattform und Standardvirtualisierungsformate (z. B. Open Virtualization Format, OVF), um die Interoperabilität sicherzustellen. Darüber hinaus verfügen sie über eine Dokumentation der benutzerdefinierten Änderungen, die an verwendeten Hypervisors vorgenommen werden, sowie aller lösungsspezifischen Virtualisierungshooks, die für die Kundenüberprüfung verfügbar sind.

ID: 0662.09sCSPOrganizational.2 - 09.s Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
App Service-Apps sollten „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert haben Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Audit, Disabled 2.0.0

Die Organisation richtet formell mehrere Schutzmaßnahmen ein, bevor die Verwendung von Informationssystemen für den Informationsaustausch zugelassen wird.

ID: 0901.09s1Organizational.1 - 09.s Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre App erteilen. Erlauben Sie nur erforderlichen Domänen die Interaktion mit Ihrer App. AuditIfNotExists, Disabled 2.0.0

Der Remotezugriff (extern) auf die Informationsressourcen der Organisation und der Zugriff auf die externen Informationsressourcen (über die die Organisation keine Kontrolle hat) basieren auf eindeutig definierten Geschäftsbedingungen.

ID: 0902.09s2Organizational.13 - 09.s Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. AuditIfNotExists, Disabled 2.0.0

Es wird Kryptografie genutzt, um die Vertraulichkeit und Integrität von Remotezugriffssitzungen mit dem internen Netzwerk und externen Systemen zu schützen.

ID: 0912.09s1Organizational.4 - 09.s Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für eine App Service-App. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0

Es werden sichere Kryptografieprotokolle verwendet, um die abgedeckten Informationen bei der Übertragung über weniger vertrauenswürdige bzw. offen zugängliche öffentliche Netzwerke zu schützen.

ID: 0913.09s1Organizational.5 - 09.s Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für Funktions-Apps. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0

Die Organisation beschränkt die Verwendung von durch die Organisation gesteuerten Wechselmedien durch autorisierte Personen auf externen Informationssystemen.

ID: 0915.09s2Organizational.2 - 09.s Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
App Service-Apps sollten „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert haben Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Audit, Disabled 2.0.0

Das Informationssystem verbietet die Remoteaktivierung von gemeinsamen Computergeräten und zeigt Benutzern, die physisch an den Geräten arbeiten, einen expliziten Hinweis zur Verwendung an.

ID: 0916.09s2Organizational.4 - 09.s Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre App erteilen. Erlauben Sie nur erforderlichen Domänen die Interaktion mit Ihrer App. AuditIfNotExists, Disabled 2.0.0

Clouddienstanbieter nutzen sichere (z. B. ohne Klartext und mit Authentifizierung) standardisierte Netzwerkprotokolle für den Import und Export von Daten und die Verwaltung des Diensts und stellen für Consumer (Mandanten) ein Dokument bereit, das ausführliche Informationen zu den jeweils relevanten Standards für die Interoperabilität und Portabilität enthält.

ID: 0960.09sCSPOrganizational.1 - 09.s Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. AuditIfNotExists, Disabled 2.0.0

Die Mitarbeiter werden in Bezug auf die gängigen Prinzipien und Methoden für alle Arten des Informationsaustauschs (mündlich, schriftlich auf Papier und elektronisch) entsprechend geschult.

ID: 1325.09s1Organizational.3 - 09.s Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für Funktions-Apps. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0

Onlinetransaktionen

Die bei E-Commerce- und Onlinetransaktionen verwendeten Daten werden überprüft, um zu ermitteln, ob sie abgedeckte Informationen enthalten.

ID: 0943.09y1Organizational.1 - 09.y Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0

Protokolle, die für die Kommunikation zwischen allen beteiligten Parteien verwendet werden, sind mit kryptografischen Verfahren (z. B. SSL) geschützt.

ID: 0945.09y1Organizational.3 - 09.y Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer überwachen, die nicht die angegebenen Zertifikate im vertrauenswürdigen Stamm enthalten Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eines der durch den Richtlinienparameter angegebenen Zertifikate nicht im vertrauenswürdigen Stammzertifikatspeicher des Computers (Cert:\LocalMachine\Root) enthalten ist. auditIfNotExists 3.0.0

Die Organisation erzwingt die Nutzung der Verschlüsselung zwischen den an einer Transaktion beteiligten Parteien und die Verwendung von elektronischen Signaturen.

ID: 0946.09y2Organizational.14 - 09.y Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0

Die Organisation stellt sicher, dass die Transaktionsdetails außerhalb von öffentlich zugänglichen Umgebungen (z. B. auf einer Speicherplattform im Intranet der Organisation) gespeichert und nicht auf einem Speichermedium aufbewahrt und verfügbar gemacht werden, auf das direkt aus dem Internet zugegriffen werden kann.

ID: 0947.09y2Organizational.2 - 09.y Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1

Wenn eine vertrauenswürdige Zertifizierungsstelle verwendet wird (z. B. zum Ausstellen und Verwalten digitaler Signaturen und/oder digitaler Zertifikate), wird die Sicherheit in den gesamten End-to-End-Zertifikat-/-Signaturverwaltungsprozess integriert und eingebettet.

ID: 0948.09y2Organizational.3 - 09.y Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1

Die für die Kommunikation verwendeten Protokolle werden jeweils verbessert, um alle neuen Sicherheitsrisiken abzudecken, und die aktualisierten Versionen der Protokolle werden so schnell wie möglich bereitgestellt.

ID: 0949.09y2Organizational.5 - 09.y Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Führen Sie ein Upgrade auf die neueste TLS-Version durch. AuditIfNotExists, Disabled 2.0.0

Steuerung der Betriebssoftware

Nur autorisierte Administratoren dürfen genehmigte Upgrades für Software, Anwendungen und Programmbibliotheken basierend auf den Geschäftsanforderungen und den Sicherheitsauswirkungen des Releases implementieren.

ID: 0605.10h1System.12 - 10.h Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Überwachen“ erfüllen Windows-Computer müssen über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Überwachen“ zum Erzwingen der Unterkategorie der Überwachungsrichtlinie und zum Herunterfahren verfügen, wenn Sicherheitsüberwachungen nicht protokolliert werden können. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoverwaltung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoverwaltung“ zum Überwachen der Anwendungs-, Sicherheits- und Benutzergruppenverwaltung und anderer Verwaltungsereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Anwendungen und Betriebssysteme werden vor der Nutzung in der Produktion erfolgreich auf Benutzerfreundlichkeit, Sicherheit und Auswirkungen getestet.

ID: 0606.10h2System.1 - 10.h Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden Hiermit werden Sicherheitsrisiken in der Sicherheitskonfiguration von Computern überwacht, auf denen Docker installiert ist, und es werden Empfehlungen in Azure Security Center angezeigt. AuditIfNotExists, Disabled 3.0.0

Die Organisation nutzt ihr Programm für die Konfigurationssteuerung, um die Kontrolle über die gesamte implementierte Software und die zugehörige Systemdokumentation zu behalten und die vorherigen Versionen dieser Software und Systemdokumentation zu archivieren.

ID: 0607.10h2System.23 - 10.h Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0
Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. AuditIfNotExists, Disabled 3.0.0

Ändern von Steuerungsverfahren

Für Anwendungssysteme verantwortliche Manager sind auch für die strenge Kontrolle (Sicherheit) des Projekts oder der Unterstützungsumgebung verantwortlich. Darüber hinaus stellen sie sicher, dass für alle vorgeschlagenen Systemänderungen überprüft wird, ob sie die Sicherheit des Systems oder der Betriebsumgebung gefährden.

ID: 0635.10k1Organizational.12 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Die Organisation berücksichtigt formell Zweck, Umfang, Rollen, Zuständigkeiten, Verwaltungspflichten, Koordination zwischen Organisationsentitäten und die Konformität für die Konfigurationsverwaltung (z. B. anhand von Richtlinien, Standards oder Prozessen).

ID: 0636.10k2Organizational.1 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Die Organisation hat einen Konfigurationsverwaltungsplan für das Informationssystem entwickelt, dokumentiert und implementiert.

ID: 0637.10k2Organizational.2 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Änderungen werden formell kontrolliert, dokumentiert und erzwungen, um die Beeinträchtigung von Informationssystemen zu minimieren.

ID: 0638.10k2Organizational.34569 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Installationsprüflisten und Überprüfungen auf Sicherheitsrisiken werden genutzt, um die Konfiguration von Servern, Arbeitsstationen, Geräten und Appliances zu überprüfen und sicherzustellen, dass die Konfiguration die Mindeststandards erfüllt.

ID: 0639.10k2Organizational.78 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Wenn die Entwicklung outgesourct wird, sind in den Vereinbarungen sicherheitsbezogene Verfahren zur Änderungssteuerung enthalten, bei denen der Entwickler Sicherheitsprobleme nachverfolgen und im System, in der Komponente oder im Dienst entsprechende Fehler beheben und die Ergebnisse an von der Organisation vorgegebene Mitarbeiter oder Rollen melden muss.

ID: 0640.10k2Organizational.1012 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Die Organisation nutzt für kritische Systeme keine automatisierten Updates.

ID: 0641.10k2Organizational.11 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Die Organisation entwickelt, dokumentiert und verwaltet mit der Konfigurationssteuerung eine aktuelle Baselinekonfiguration des Informationssystems und überprüft und aktualisiert die Baseline je nach Bedarf.

ID: 0642.10k3Organizational.12 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Die Organisation (i) führt die Einrichtung und Dokumentation von obligatorischen Konfigurationseinstellungen für IT-Produkte, die im Informationssystem genutzt werden, anhand der aktuellen Baselines für die Sicherheitskonfiguration durch, (ii) identifiziert, dokumentiert und genehmigt Ausnahmen von den eingerichteten obligatorischen Konfigurationseinstellungen für einzelne Komponenten basierend auf expliziten Betriebsanforderungen und (iii) überwacht und kontrolliert Änderungen der Konfigurationseinstellungen gemäß den Organisationsrichtlinien und -verfahren.

ID: 0643.10k3Organizational.3 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

ID: 0644.10k3Organizational.4 - 10.k Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Steuerung von technischen Sicherheitsrisiken

Technische Sicherheitsrisiken werden rechtzeitig identifiziert, in Bezug auf das bestehende Risiko bewertet und behoben.

ID: 0709.10m1Organizational.1 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Disabled 3.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. AuditIfNotExists, Disabled 4.0.0
Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden Hiermit werden Sicherheitsrisiken in der Sicherheitskonfiguration von Computern überwacht, auf denen Docker installiert ist, und es werden Empfehlungen in Azure Security Center angezeigt. AuditIfNotExists, Disabled 3.0.0
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. AuditIfNotExists, Disabled 3.0.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 1.0.1
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit werden Azure SQL Server-Instanzen überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 2.0.0
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ zum Deaktivieren des SMB v1-Servers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Für alle System- und Netzwerkkomponenten ist ein festgeschriebener Konfigurationsstandard vorhanden.

ID: 0710.10m2Organizational.1 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 1.0.1

Ein Programm zur Verwaltung von technischen Sicherheitsrisiken wird verwendet, um die in Systemen identifizierten Sicherheitsrisiken zu überwachen, zu bewerten, einzustufen und zu beseitigen.

ID: 0711.10m2Organizational.23 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Disabled 3.0.0

Patches werden vor der Installation getestet und ausgewertet.

ID: 0713.10m2Organizational.5 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Das Programm zur Verwaltung von technischen Sicherheitsrisiken wird vierteljährlich ausgewertet.

ID: 0714.10m2Organizational.7 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. AuditIfNotExists, Disabled 3.0.0

Die Systeme werden auf angemessene Weise gehärtet (z. B. eine Konfiguration, bei der nur die benötigten und sicheren Dienste, Ports und Protokolle aktiviert sind).

ID: 0715.10m2Organizational.8 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden Hiermit werden Sicherheitsrisiken in der Sicherheitskonfiguration von Computern überwacht, auf denen Docker installiert ist, und es werden Empfehlungen in Azure Security Center angezeigt. AuditIfNotExists, Disabled 3.0.0

Die Organisation führt je nach Bedarf (aber mindestens einmal in dreihundertfünfundsechzig (365) Tagen) eine Überprüfung des Sicherheitsstatus des Unternehmens gemäß den Sicherheitsverfahren der Organisation durch.

ID: 0716.10m3Organizational.1 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. AuditIfNotExists, Disabled 4.0.0

Tools für die Überprüfung auf Sicherheitsrisiken verfügen über eine Funktion zum sofortigen Aktualisieren der Informationssysteme, die auf Sicherheitsrisiken überprüft wurden.

ID: 0717.10m3Organizational.2 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. AuditIfNotExists, Disabled 3.0.0

Die Organisation überprüft, ob Sicherheitsrisiken im Informationssystem und in gehosteten Anwendungen vorliegen. Hierbei wird der Status der Fehlerbehebung monatlich (automatisch) ermittelt, und dann erneut (manuell oder automatisch), wenn neue Sicherheitsrisiken, die eine potenzielle Beeinträchtigung der Systeme und Netzwerkumgebungen darstellen, identifiziert und gemeldet werden.

ID: 0718.10m3Organizational.34 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Die Organisation aktualisiert die Liste mit den überprüften Sicherheitsrisiken von Informationssystemen alle dreißig (30) Tage oder bei einer Identifizierung oder Meldung neuer Sicherheitsrisiken.

ID: 0719.10m3Organizational.5 - 10.m Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 1.0.1

Geschäftskontinuität und Risikobewertung

Die Organisation identifiziert die kritischen Geschäftsprozesse, die Geschäftskontinuität erfordern.

ID: 1634.12b1Organizational.1 - 12.b Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Die Informationssicherheitsaspekte der Geschäftskontinuität (i) basieren auf der Identifikation von Ereignissen (oder der Abfolge von Ereignissen), die zu Unterbrechungen der kritischen Geschäftsprozesse der Organisation führen können (z. B. Geräteausfälle, menschliche Fehler, Diebstahl, Feuer, Naturkatastrophen, Terroranschläge). (ii) Anschließend wird eine Risikobewertung durchgeführt, um die Wahrscheinlichkeit und Auswirkung dieser Unterbrechungen in Bezug auf Zeitpunkt, Schadensumfang und Wiederherstellungsdauer zu ermitteln. (iii) Sie basieren auf den Ergebnissen der Risikobewertung, und es wird eine Strategie zur Geschäftskontinuität entwickelt, um den allgemeinen Ansatz für die Geschäftskontinuität zu identifizieren. (iv) Nachdem diese Strategie erstellt wurde, sichert das Management seine Unterstützung zu, und es wird ein Plan für die Implementierung dieser Strategie aufgestellt und unterstützt.

ID: 1635.12b1Organizational.2 - 12.b Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für ein verwaltetes Azure Key Vault-HSM muss der Löschschutz aktiviert sein Das böswillige Löschen eines verwalteten Azure Key Vault-HSM kann zu dauerhaftem Datenverlust führen. Ein böswilliger Insider in Ihrer Organisation kann ein verwaltetes Azure Key Vault-HSM löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für ein vorläufig gelöschtes verwaltetes Azure Key Vault-HSM durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihr verwaltetes Azure Key Vault-HSM während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Audit, Deny, Disabled 1.0.0
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Ein böswilliger Insider in Ihrer Organisation kann möglicherweise Schlüsseltresore löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Audit, Deny, Disabled 2.0.0

Analysen der geschäftlichen Auswirkungen werden verwendet, um die Konsequenzen zu bewerten, die sich aus Notfällen, Sicherheitsfehlern, Dienstausfällen und der Dienstverfügbarkeit ergeben.

ID: 1637.12b2Organizational.2 - 12.b Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Wiederherstellungskonsole“ erfüllen Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Wiederherstellungskonsole“ für das Zulassen von Diskettenkopiervorgängen und den Zugriff auf alle Laufwerke und Ordner aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Risikobewertungen der Geschäftskontinuität (i) werden jährlich unter vollständiger Einbeziehung der Eigentümer von Unternehmensressourcen und -prozessen durchgeführt, (ii) berücksichtigen alle Geschäftsprozesse und sind nicht auf die Informationswerte beschränkt, sondern schließen die Ergebnisse ein, die spezifisch für die Informationssicherheit sind, und (iii) identifizieren, quantifizieren und priorisieren Risiken in Bezug auf wichtige Geschäftsziele der Organisation und Kriterien, die für die Organisation relevant sind, einschließlich kritischer Ressourcen, Auswirkungen von Unterbrechungen, zulässiger Ausfallzeiten und Wiederherstellungsprioritäten.

ID: 1638.12b2Organizational.345 - 12.b Besitzer: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Nächste Schritte

Weitere Artikel über Azure Policy: