Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß NL BIO Cloud Theme

Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in NL BIO Cloud Theme entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NL BIO Cloud Theme. Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.

Die folgenden Zuordnungen gelten für die Steuerungen unter NL BIO Cloud Theme. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der integrierten Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß NL BIO Cloud Theme, und wählen Sie sie aus.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

B.01.3 Gesetze und Vorschriften – Gesetzliche und regulatorische Anforderungen

Die Anforderungen, die für den CSC gelten, die sich aus Gesetzen und Vorschriften ergeben, wurden identifiziert

ID: NL BIO Cloud Theme B.01.3 Besitz: Kundschaft

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Zulässige Speicherorte	Mit dieser Richtlinie können Sie die Speicherorte einschränken, die Ihre Organisation beim Bereitstellen von Ressourcen angeben kann. Wird zur Erzwingung Ihrer Anforderungen an die Geokonformität verwendet. Schließt Ressourcengruppen, Microsoft.AzureActiveDirectory/b2c-Verzeichnisse und Ressourcen aus, die die Region „global“ verwenden.	deny	1.0.0
Zulässige Standorte für Ressourcengruppen	Mit dieser Richtlinie können Sie die Standorte einschränken, an denen Ihr Unternehmen Ressourcengruppen erstellen kann. Wird zur Erzwingung Ihrer Anforderungen an die Geokonformität verwendet.	deny	1.0.0

B.09.1 Datenschutz und Schutz personenbezogener Daten – Sicherheitsaspekte und Phasen

Verfügbarkeits-, Integritäts- und Vertraulichkeitsmaßnahmen wurden ergriffen.

ID: NL BIO Cloud Theme B.09.1 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Für Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein	Aktivieren Sie die Überwachung nur für Verbindungen über SSL mit Azure Cache for Redis. Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking	Überwachung, Verweigern, Deaktiviert	1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden	Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Überwachung, Verweigern, Deaktiviert	2.0.0

B.10.2 Sicherheitsorganisation – Sicherheitsfunktion

Das Sicherheitsfeature bietet proaktive Unterstützung.

ID: NL BIO Cloud Theme B.10.2 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Maximal 3 Besitzende sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzende festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch eine kompromittierte Besitzerin bzw. einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Deaktiviert	3.0.0
Ihrem Abonnement sollte mehrere Besitzende zugewiesen sein	Es wird empfohlen, mehrere Abonnementbesitzende festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten.	AuditIfNotExists, Deaktiviert	3.0.0

B.10.3 Sicherheitsorganisation – Organisationsposition

Der CSP hat der Informationssicherheitsorganisation eine formale Position innerhalb der gesamten Organisation gegeben.

ID: NL BIO Cloud Theme B.10.3 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Maximal 3 Besitzende sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzende festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch eine kompromittierte Besitzerin bzw. einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Deaktiviert	3.0.0
Ihrem Abonnement sollte mehrere Besitzende zugewiesen sein	Es wird empfohlen, mehrere Abonnementbesitzende festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten.	AuditIfNotExists, Deaktiviert	3.0.0

B.10.4 Sicherheitsorganisation – Aufgaben, Zuständigkeiten und Befugnisse

Der CSP hat die Verantwortlichkeiten für die Informationssicherheit beschrieben und ihnen bestimmte Offiziere zugewiesen.

ID: NL BIO Cloud Theme B.10.4 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Maximal 3 Besitzende sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzende festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch eine kompromittierte Besitzerin bzw. einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Deaktiviert	3.0.0
Ihrem Abonnement sollte mehrere Besitzende zugewiesen sein	Es wird empfohlen, mehrere Abonnementbesitzende festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten.	AuditIfNotExists, Deaktiviert	3.0.0

C.04.3 Technisches Sicherheitsrisikomanagement – Zeitachsen

Wenn sowohl die Wahrscheinlichkeit eines Missbrauchs als auch der erwartete Schaden hoch sind, werden Patches spätestens innerhalb einer Woche installiert.

ID: NL BIO Cloud Theme C.04.3 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden	Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen.	AuditIfNotExists, Deaktiviert	3.0.0
App Service-Anwendungen sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	4.0.0
App Service-Apps, die Java verwenden, müssen eine spezifische „Java-Version“ verwenden	Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	3.1.0
App Service-Apps, die PHP verwenden, müssen die angegebene „PHP-Version“ verwenden	Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	3.2.0
App Service-App, die Python verwenden, müssen die angegebene „Python-Version“ verwenden	Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	4.1.0
Azure Defender für App Service sollte aktiviert werden	Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Azure Defender für Key Vault sollte aktiviert werden	Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Resource Manager muss aktiviert sein	Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Pläne fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center.	AuditIfNotExists, Deaktiviert	1.0.0
Azure Defender für Server sollte aktiviert werden	Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Funktions-Apps sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	4.0.0
Funktions-Apps, die Java verwenden, müssen die angegebene „Java-Version“ verwenden	Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	3.1.0
Funktions-Apps, die Python verwenden, müssen die angegebene „Python-Version“ verwenden	Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	4.1.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden	Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht.	Überwachung, Deaktiviert	1.0.2
Microsoft Defender for Containers sollte aktiviert sein	Microsoft Defender for Containers bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen.	AuditIfNotExists, Deaktiviert	1.0.0
Microsoft Defender für Storage sollte aktiviert sein	Microsoft Defender für Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender für den Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben.	AuditIfNotExists, Deaktiviert	1.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden	Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht.	AuditIfNotExists, Deaktiviert	4.1.0
Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein	Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren.	AuditIfNotExists, Deaktiviert	1.0.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein	Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows).	AuditIfNotExists, Deaktiviert	2.0.0

C.04.6 Technisches Sicherheitsrisikomanagement – Zeitachsen

Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden.

ID: NL BIO Cloud Theme C.04.6 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden	Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen.	AuditIfNotExists, Deaktiviert	3.0.0
App Service-Anwendungen sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	4.0.0
App Service-Apps, die Java verwenden, müssen eine spezifische „Java-Version“ verwenden	Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	3.1.0
App Service-Apps, die PHP verwenden, müssen die angegebene „PHP-Version“ verwenden	Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	3.2.0
App Service-App, die Python verwenden, müssen die angegebene „Python-Version“ verwenden	Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	4.1.0
Azure Defender für App Service sollte aktiviert werden	Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Azure Defender für Key Vault sollte aktiviert werden	Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Resource Manager muss aktiviert sein	Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Pläne fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center.	AuditIfNotExists, Deaktiviert	1.0.0
Azure Defender für Server sollte aktiviert werden	Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Azure Machine Learning-Compute-Instanzen müssen neu erstellt werden, um die neuesten Softwareupdates zu erhalten	Stellen Sie sicher, dass Azure Machine Learning-Compute-Instanzen unter dem neuesten verfügbaren Betriebssystem ausgeführt werden. Die Sicherheit wird verbessert und Sicherheitsrisiken werden verringert, indem sie mit den neuesten Sicherheitspatches ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/azureml-ci-updates/.	[parameter('Effekte')]	1.0.3
Funktions-Apps sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	4.0.0
Funktions-Apps, die Java verwenden, müssen die angegebene „Java-Version“ verwenden	Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	3.1.0
Funktions-Apps, die Python verwenden, müssen die angegebene „Python-Version“ verwenden	Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	4.1.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden	Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht.	Überwachung, Deaktiviert	1.0.2
Microsoft Defender for Containers sollte aktiviert sein	Microsoft Defender for Containers bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen.	AuditIfNotExists, Deaktiviert	1.0.0
Microsoft Defender für Storage sollte aktiviert sein	Microsoft Defender für Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender für den Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben.	AuditIfNotExists, Deaktiviert	1.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden	Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht.	AuditIfNotExists, Deaktiviert	4.1.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein	Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows).	AuditIfNotExists, Deaktiviert	2.0.0

C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet

Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet.

ID: NL BIO Cloud Theme C.04.7 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden	Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen.	AuditIfNotExists, Deaktiviert	3.0.0
Für App Service-Apps sollte das Remote-Debuggen deaktiviert sein	Für das Remote-Debuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remote-Debuggen muss deaktiviert werden.	AuditIfNotExists, Deaktiviert	2.0.0
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann	Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domänen die Interaktion mit Ihrer App.	AuditIfNotExists, Deaktiviert	2.0.0
App Service-Anwendungen sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	4.0.0
App Service-Apps, die Java verwenden, müssen eine spezifische „Java-Version“ verwenden	Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	3.1.0
App Service-Apps, die PHP verwenden, müssen die angegebene „PHP-Version“ verwenden	Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	3.2.0
App Service-App, die Python verwenden, müssen die angegebene „Python-Version“ verwenden	Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	4.1.0
Azure Defender für App Service sollte aktiviert werden	Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Azure Defender für Key Vault sollte aktiviert werden	Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Resource Manager muss aktiviert sein	Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Pläne fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center.	AuditIfNotExists, Deaktiviert	1.0.0
Azure Defender für Server sollte aktiviert werden	Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein	Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden.	Überwachung, Deaktiviert	1.0.2
Für Funktions-Apps sollte das Remote-Debuggen deaktiviert sein	Für das Remote-Debuggen müssen bei Function-Apps eingehende Ports geöffnet werden. Das Remote-Debuggen muss deaktiviert werden.	AuditIfNotExists, Deaktiviert	2.0.0
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann	Cross-Origin Resource Sharing (CORS) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App.	AuditIfNotExists, Deaktiviert	2.0.0
Funktions-Apps sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	4.0.0
Funktions-Apps, die Java verwenden, müssen die angegebene „Java-Version“ verwenden	Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	3.1.0
Funktions-Apps, die Python verwenden, müssen die angegebene „Python-Version“ verwenden	Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht.	AuditIfNotExists, Deaktiviert	4.1.0
CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten	Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	9.3.0
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben	Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	5.2.0
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden	Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	6.2.0
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden	Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	6.2.0
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden	Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	9.3.0
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden	Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	6.3.0
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden	Hiermit wird die Bereitstellung von HostPath-Volumes in einem Pod auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	6.2.0
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden	Hiermit werden die IDs für Benutzende, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	6.2.0
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden	Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Bestandteil von CIS 5.2.4, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	6.2.0
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen	Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	8.2.0
Kubernetes-Cluster dürfen keine privilegierten Container zulassen	Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	9.2.0
Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden	Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	4.2.0
Kubernetes-Cluster dürfen keine Container-Rechteausweitung zulassen	Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, womit die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	7.2.0
Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren	Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	5.1.0
Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden	Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	4.2.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden	Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht.	Überwachung, Deaktiviert	1.0.2
Microsoft Defender for Containers sollte aktiviert sein	Microsoft Defender for Containers bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen.	AuditIfNotExists, Deaktiviert	1.0.0
Microsoft Defender für Storage sollte aktiviert sein	Microsoft Defender für Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender für den Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben.	AuditIfNotExists, Deaktiviert	1.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden	Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht.	AuditIfNotExists, Deaktiviert	4.1.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein	Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows).	AuditIfNotExists, Deaktiviert	2.0.0

C.04.8 Technisches Sicherheitsrisikomanagement – Bewertet

Die Auswertungsberichte enthalten Verbesserungsvorschläge und werden mit Managenden/Besitzenden kommuniziert.

ID: NL BIO Cloud Theme C.04.8 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden	Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen.	AuditIfNotExists, Deaktiviert	3.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden	Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht.	AuditIfNotExists, Deaktiviert	4.1.0

C.05.5 Berichte zur Sicherheitsüberwachung – Überwacht und gemeldet

Nachweislich wird den Verbesserungsvorschlägen aus Analyseberichten nachgegangen.

ID: NL BIO Cloud Theme C.05.5 Besitz: Microsoft

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein	Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Deaktiviert	1.2.0
E-Mail-Benachrichtigung von Abonnementbesitzenden bei Warnungen mit hohem Schweregrad muss aktiviert sein	Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzende für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzenden benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Deaktiviert	2.1.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein	Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist.	AuditIfNotExists, Deaktiviert	1.0.1

U.03 – Services für Unternehmenskontinuität

Informationsverarbeitungseinrichtungen müssen mit ausreichender Redundanz implementiert werden, um Kontinuitätsanforderungen zu erfüllen.

ID: NL BIO Cloud Theme U.03 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein	Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig.	Überwachung, Deaktiviert	1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein	Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig.	Überwachung, Deaktiviert	1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein	Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig.	Überwachung, Deaktiviert	1.0.1

U.03.1 Services für Unternehmenskontinuität – Redundanz

Die vereinbarte Kontinuität wird durch hinreichend logische oder mehrere physische Systemfunktionen gewährleistet.

ID: NL BIO Cloud Theme U.03.1 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist	Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Azure Backup muss für Virtual Machines aktiviert sein	Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure.	AuditIfNotExists, Deaktiviert	3.0.0

U.03.2 Services für Unternehmenskontinuität – Kontinuitätsanforderungen

Die mit dem CSC vereinbarten Kontinuitätsanforderungen für Clouddienste werden durch die Systemarchitektur sichergestellt.

ID: NL BIO Cloud Theme U.03.2 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist	Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Azure Backup muss für Virtual Machines aktiviert sein	Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure.	AuditIfNotExists, Deaktiviert	3.0.0

U.04.1 Daten- und Clouddienstwiederherstellung – Wiederherstellungsfunktion

Die Daten und Clouddienste werden innerhalb des vereinbarten Zeitraums und mit maximalem Datenverlust wiederhergestellt und dem CSC zur Verfügung gestellt.

ID: NL BIO Cloud Theme U.04.1 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist	Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Für Schlüsseltresore muss der Löschschutz aktiviert sein	Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen endgültig löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist.	Überwachung, Verweigern, Deaktiviert	2.1.0
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein	Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu endgültigem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen.	Überwachung, Verweigern, Deaktiviert	3.0.0

U.04.2 Daten- und Clouddienstwiederherstellung – Wiederherstellungsfunktion

Der kontinuierliche Prozess des wiederherstellbaren Schutzes von Daten wird überwacht.

ID: NL BIO Cloud Theme U.04.2 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist	Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Für Schlüsseltresore muss der Löschschutz aktiviert sein	Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen endgültig löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist.	Überwachung, Verweigern, Deaktiviert	2.1.0
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein	Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu endgültigem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen.	Überwachung, Verweigern, Deaktiviert	3.0.0

U.04.3 Daten- und Clouddienstwiederherstellung – Getestet

Das Funktionieren von Wiederherstellungsfunktionen wird regelmäßig getestet und die Ergebnisse werden mit dem CSC geteilt.

ID: NL BIO Cloud Theme U.04.3 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist	Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Für Schlüsseltresore muss der Löschschutz aktiviert sein	Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen endgültig löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist.	Überwachung, Verweigern, Deaktiviert	2.1.0
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein	Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu endgültigem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen.	Überwachung, Verweigern, Deaktiviert	3.0.0

U.05.1 Datenschutz – Kryptografische Maßnahmen

Der Datentransport wird mit Kryptografie gesichert, bei der die Schlüsselverwaltung, wenn möglich, von der CSC selbst durchgeführt wird.

ID: NL BIO Cloud Theme U.05.1 Besitz: Kunde

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Zugriff auf App Service-Apps nur über HTTPS gestatten	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Überwachen, Deaktiviert, Verweigern	4.0.0
App Service-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Deaktiviert	3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	2.1.0
Für Azure Batch-Pools sollte die Datenträgerverschlüsselung aktiviert sein	Wenn Sie die Azure Batch-Datenträgerverschlüsselung aktivieren, wird sichergestellt, dass ruhende Daten in Ihrem Azure Batch-Computeknoten immer verschlüsselt sind. Weitere Informationen zur Datenträgerverschlüsselung in Batch finden Sie unter https://docs.microsoft.com/azure/batch/disk-encryption.	Überwachen, Deaktiviert, Verweigern	1.0.0
Azure Edge Hardware Center-Geräte sollten die Unterstützung für doppelte Verschlüsselung aktiviert haben	Stellen Sie sicher, dass für über Azure Edge Hardware Center bestellte Geräte die Unterstützung für die doppelte Verschlüsselung aktiviert ist, um die ruhenden Daten auf dem Gerät zu schützen. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt.	Überwachung, Verweigern, Deaktiviert	2.0.0
Azure Front Door Standard und Premium müssen mindestens die TLS-Version 1.2 ausführen	Das Festlegen der TLS-Mindestversion auf 1.2 verbessert die Sicherheit, da sichergestellt wird, dass nur Clients mit TLS 1.2 oder höher auf Ihre benutzerdefinierten Domänen zugreifen können. Die Verwendung von TLS-Versionen unter 1.2 wird nicht empfohlen, da sie schwach sind und keine modernen Kryptografiealgorithmen unterstützen.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden	Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden.	Überwachung, Verweigern, Deaktiviert	1.0.0
Die Azure SQL-Datenbank muss TLS-Version 1.2 oder höher verwenden	Höhere Sicherheit wird durch Festlegen von TLS-Version 1.2 oder höher erzielt. So können nur Clients, die TLS 1.2 oder höher verwenden, auf Ihre Azure SQL-Datenbank-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden.	Überwachen, Deaktiviert, Verweigern	2.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein	Azure Database for MySQL unterstützt die Verbindung Ihres Servers mit Azure Database for MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Überwachung, Deaktiviert	1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein	Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Überwachung, Deaktiviert	1.0.1
Zugriff auf Funktions-Apps nur über HTTPS gestatten	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Überwachen, Deaktiviert, Verweigern	5.0.0
Funktions-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Deaktiviert	3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	2.1.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können	Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	8.2.0
Für Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein	Aktivieren Sie die Überwachung nur für Verbindungen über SSL mit Azure Cache for Redis. Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking	Überwachung, Verweigern, Deaktiviert	1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden	Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Überwachung, Verweigern, Deaktiviert	2.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein	Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird.	AuditIfNotExists, Deaktiviert	4.1.1

U.05.2 Datenschutz – Kryptografische Maßnahmen

Die im Clouddienst gespeicherten Daten sind nach allen Regeln zu schützen.

ID: NL BIO Cloud Theme U.05.2 Besitz: Kundschaft

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
[Vorschau]: Azure Recovery Services Tresore sollten kundenseitit verwaltete Schlüssel für die Verschlüsselung von Sicherungsdaten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/AB-CmkEncryption.	Überwachung, Verweigern, Deaktiviert	1.0.0-Vorschau
[Vorschau]: Für unterstützte virtuelle Linux-Computer muss die Erweiterung für den Gastnachweis installiert sein	Installieren Sie auf unterstützten virtuellen Linux-Computer die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	AuditIfNotExists, Deaktiviert	6.0.0-Vorschau
[Vorschau]: Für unterstützte virtuelle Linux-Computer-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein	Installieren Sie in unterstützten virtuellen Linux-Computer-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	AuditIfNotExists, Deaktiviert	5.1.0-Vorschau
[Vorschau]: Für unterstützte virtuelle Windows-Computer muss die Erweiterung für den Gastnachweis installiert sein	Installieren Sie auf unterstützten virtuellen Computer die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	AuditIfNotExists, Deaktiviert	4.0.0-Vorschau
[Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein.	Installieren Sie in unterstützten VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	AuditIfNotExists, Deaktiviert	3.1.0-Vorschau
[Vorschau]: Daten des IoT Hub Device Provisioning Service müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub Device Provisioning Service zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK.	Überwachung, Verweigern, Deaktiviert	1.0.0-Vorschau
[Vorschau]: Für unterstützte virtuelle Windows-Computer muss der sichere Neustart aktiviert sein	Die Aktivierung des „Sicheren Starts“ auf unterstützten virtuellen Windows-Computern dient als Schutz vor schädlichen und nicht autorisierten Änderungen der Startkette. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	Überwachung, Deaktiviert	4.0.0-Vorschau
[Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden	Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs.	Überwachung, Deaktiviert	2.0.0-Vorschau
Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln	Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich.	Überwachung, Verweigern, Deaktiviert	2.2.0
Azure-API für FHIR muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln ruhender Daten verwenden	Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung der in Azure-API für FHIR gespeicherten ruhenden Daten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird.	überwachen, Überwachung, deaktiviert, Deaktiviert	1.1.0
Azure Automation-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Automation-Konten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/automation-cmk.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/Batch-CMK.	Überwachung, Verweigern, Deaktiviert	1.0.1
Für Azure Batch-Pools sollte die Datenträgerverschlüsselung aktiviert sein	Wenn Sie die Azure Batch-Datenträgerverschlüsselung aktivieren, wird sichergestellt, dass ruhende Daten in Ihrem Azure Batch-Computeknoten immer verschlüsselt sind. Weitere Informationen zur Datenträgerverschlüsselung in Batch finden Sie unter https://docs.microsoft.com/azure/batch/disk-encryption.	Überwachen, Deaktiviert, Verweigern	1.0.0
Azure Container Instances-Containergruppe muss einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden	Schützen Sie Ihre Container mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen kundenseitig verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten.	Überwachen, Deaktiviert, Verweigern	1.0.0
Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/cosmosdb-cmk.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren	Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Data Box-Aufträge müssen einen kundenseitig verwalteten Schlüssel zum Verschlüsseln des Kennworts für die Geräteentsperrung verwenden	Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung des Kennworts für die Geräteentsperrung für Azure Data Box zu steuern. Kundenseitig verwaltete Schlüssel bieten zudem Unterstützung beim Verwalten des Zugriffs auf das Kennwort zur Geräteentsperrung durch den Data Box Dienst, um das Gerät vorzubereiten und Daten automatisiert zu kopieren. Die Daten auf dem Gerät selbst sind bereits im Ruhezustand mit einer AES-256-Verschlüsselung (Advanced Encryption Standard) verschlüsselt, und das Kennwort zur Geräteentsperrung wird standardmäßig mit einem von Microsoft verwalteten Schlüssel verschlüsselt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Data Explorer-Verschlüsselung ruhender Daten muss einen kundenseitig verwalteten Schlüssel verwenden	Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihrem Azure Data Explorer-Cluster bietet zusätzliche Kontrolle über den Schlüssel, der von der Verschlüsselung ruhender Schlüssel verwendet wird. Dieses Feature ist häufig für Kunden mit speziellen Complianceanforderungen relevant und erfordert eine Key Vault-Instanz zur Verwaltung der Schlüssel.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/adf-cmk.	Überwachung, Verweigern, Deaktiviert	1.0.1
Azure Edge Hardware Center-Geräte sollten die Unterstützung für doppelte Verschlüsselung aktiviert haben	Stellen Sie sicher, dass für über Azure Edge Hardware Center bestellte Geräte die Unterstützung für die doppelte Verschlüsselung aktiviert ist, um die ruhenden Daten auf dem Gerät zu schützen. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt.	Überwachung, Verweigern, Deaktiviert	2.0.0
Azure HDInsight-Cluster müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure HDInsight-Cluster zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/hdi.cmk.	Überwachung, Verweigern, Deaktiviert	1.0.1
Azure HDInsight-Cluster müssen Verschlüsselung auf dem Host zur Verschlüsselung ruhender Daten verwenden	Durch das Aktivieren der Verschlüsselung auf dem Host können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn Sie die Verschlüsselung auf dem Host aktivieren, werden die auf dem VM-Host gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/azureml-workspaces-cmk.	Überwachung, Verweigern, Deaktiviert	1.1.0
Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung)	Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Erstellen Sie Azure Monitor-Protokollcluster mit Verschlüsselung durch kundenseitig verwaltete Schlüssel. Standardmäßig werden die Protokolldaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit dem kundenseitig verwalteten Schlüssel in Azure Monitor haben Sie eine bessere Kontrolle über den Zugriff auf Ihre Daten. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Azure Stream Analytics-Aufträge sollten kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie alle Metadaten und privaten Datenbestände Ihrer Stream Analytics-Aufträge sicher in Ihrem Speicherkonto speichern möchten. Dadurch haben Sie die vollständige Kontrolle darüber, wie Ihre Stream Analytics-Daten verschlüsselt werden.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten zu steuern, die in Azure Synapse-Arbeitsbereichen gespeichert sind. Kundenseitig verwaltete Schlüssel bieten eine Mehrfachverschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird.	Überwachung, Verweigern, Deaktiviert	1.0.0
Bot Service muss mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden	Azure Bot Service verschlüsselt Ihre Ressource automatisch, um Ihre Daten zu schützen sowie die Sicherheits- und Complianceanforderungen der Organisation zu erfüllen. Standardmäßig werden von Microsoft verwaltete Verschlüsselungsschlüssel verwendet. Wählen Sie kundenseitig verwaltete Schlüssel (auch als Bring Your Own Key (BYOK) bezeichnet) aus, um mehr Flexibilität bei der Verwaltung von Schlüsseln oder der Steuerung des Zugriffs auf Ihr Abonnement zu haben. Weitere Informationen zur Azure Bot Service-Verschlüsselung finden Sie hier: https://docs.microsoft.com/azure/bot-service/bot-service-encryption.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden	Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards.	Überwachung, Verweigern, Deaktiviert	1.0.1
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/acr/CMK.	Überwachung, Verweigern, Deaktiviert	1.1.2
Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein	Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen.	Überwachung, Verweigern, Deaktiviert	2.0.0
Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein	Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt.	Überwachung, Verweigern, Deaktiviert	2.0.0
Für Event Hub-Namespaces muss ein kundenseitig verwalteter Schlüssel zur Verschlüsselung verwendet werden	Azure Event Hubs unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Event Hub zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Event Hub nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Namespaces in dedizierten Clustern unterstützt.	Überwachung, Deaktiviert	1.0.0
HPC Cache-Konten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden	Verwalten Sie die Verschlüsselung ruhender Azure HPC Cache-Daten mithilfe von kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung.	Überwachen, Deaktiviert, Verweigern	2.0.0
Infrastrukturverschlüsselung muss für Azure Database for MySQL-Server aktiviert sein	Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for MySQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten mithilfe der von Microsoft verwalteten FIPS 140-2-konformen Schlüsseln doppelt verschlüsselt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Infrastrukturverschlüsselung muss für Azure Database for PostgreSQL-Server aktiviert sein	Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for PostgreSQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten doppelt mithilfe FIPS 140-2-konformer Schlüssel verschlüsselt, die von Microsoft verwaltet werden.	Überwachung, Verweigern, Deaktiviert	1.0.0
Logic Apps-Integrationsdienstumgebung muss mit kundenseitig verwalteten Schlüsseln verschlüsselt werden	Führen Sie eine Bereitstellung in einer Integrationsdienstumgebung durch, um die Verschlüsselung ruhender Logic Apps-Daten mithilfe kundenseitig verwalteter Schlüssel zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung.	Überwachung, Verweigern, Deaktiviert	1.0.0
Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden	Kundinnen und Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert wird, können nun mit plattformseitig verwalteten Verschlüsselungsschlüsseln einen anderen, zusätzlichen Verschlüsselungsalgorithmus/-modus auf Infrastrukturebene nutzen. Für die Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption.	Überwachung, Verweigern, Deaktiviert	1.0.0
MySQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung.	AuditIfNotExists, Deaktiviert	1.0.4
Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung der ruhenden Daten Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Zur Einhaltung behördlicher Konformitätsstandards werden jedoch häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/disks-cmk.	Überwachung, Verweigern, Deaktiviert	3.0.0
PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung.	AuditIfNotExists, Deaktiviert	1.0.4
Gespeicherte Abfragen in Azure Monitor müssen zur Protokollverschlüsselung im Kundenspeicherkonto gespeichert werden	Verknüpfen Sie das Speicherkonto mit einem Log Analytics-Arbeitsbereich, um gespeicherte Abfragen durch eine Verschlüsselung des Speicherkontos zu schützen. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre gespeicherten Abfragen in Azure Monitor zu erhalten. Ausführlichere Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Für Service Bus Premium-Namespaces muss ein kundenseitig verwaltete Schlüssel zur Verschlüsselung verwendet werden	Azure Service Bus unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Service Bus zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Service Bus nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Premium-Namespaces unterstützt.	Überwachung, Deaktiviert	1.0.0
Für SQL Managed Instance sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwendet werden	Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen.	Überwachung, Verweigern, Deaktiviert	2.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen.	Überwachung, Verweigern, Deaktiviert	2.0.1
Verschlüsselungsbereiche für Speicherkonten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel zur Verwaltung ruhender Verschlüsselungen Ihrer Verschlüsselungsbereiche für Speicherkonten. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu Verschlüsselungsbereichen für Speicherkonten finden Sie unter https://aka.ms/encryption-scopes-overview.	Überwachung, Verweigern, Deaktiviert	1.0.0
Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen	Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden	Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen kundenseitig verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten.	Überwachung, Deaktiviert	1.0.3
Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden	Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards.	Überwachung, Verweigern, Deaktiviert	1.0.1
Transparent Data Encryption für SQL-Datenbanken aktivieren	TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen	AuditIfNotExists, Deaktiviert	2.0.0
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein	Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Durch die Verschlüsselung auf Hostebene werden auch die ruhenden Daten in den Caches Ihrer temporären Datenträger und Betriebssystemdatenträger/VM-Datenträger verschlüsselt. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Betriebssystemdatenträger/VM-Datenträger werden im Ruhezustand entweder mit einem kunden- oder plattformseitig verwalteten Schlüssel verschlüsselt, je nachdem, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe.	Überwachung, Verweigern, Deaktiviert	1.0.0

U.07.1 Datentrennung – Isoliert

Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden auf kontrollierte Weise realisiert.

ID: NL BIO Cloud Theme U.07.1 Besitz: Microsoft

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
[Veraltet]: Azure KI-Suche-Dienste müssen Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen Consumern und den Diensten über das Azure-Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zur Azure KI-Suche werden die Risiken für Datenlecks reduziert. Mehr über private Links erfahren Sie hier: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Überwachung, Deaktiviert	1.0.2 – veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden	Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen Consumern und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Mehr über private Links erfahren Sie hier: https://go.microsoft.com/fwlink/?linkid=2129800.	Überwachung, Deaktiviert	3.0.1-abgekündigt
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind	Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen.	AuditIfNotExists, Deaktiviert	3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden	Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann.	Überwachung, Verweigern, Deaktiviert	1.0.2
App Configuration sollte Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, Deaktiviert	1.0.2
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden	Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können.	Überwachung, Deaktiviert	2.0.1
Azure KI Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden	Für die unterstützten SKUs von Azure KI-Suche können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Überwachung, Verweigern, Deaktiviert	1.0.1
Azure AI Suchdienst s sollten den Zugriff auf öffentliche Netzwerke deaktivieren	Durch das Deaktivieren des Zugriffs auf öffentliche Netzwerke wird die Sicherheit verbessert, indem sichergestellt wird, dass Ihre Azure KI-Suchdienst nicht im öffentlichen Internet verfügbar gemacht wird. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Überwachung, Verweigern, Deaktiviert	1.0.1
Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken	Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können.	Überwachung, Verweigern, Deaktiviert	3.2.0
Azure API for FHIR sollte einen privaten Link verwenden	Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink.	Überwachung, Deaktiviert	1.0.0
Azure Cache for Redis muss private Verbindung verwenden	Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, Deaktiviert	1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen	Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft.	Überwachung, Verweigern, Deaktiviert	2.1.0
Azure Cosmos DB muss den Zugriff über öffentliche Netzwerke deaktivieren	Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass das CosmosDB-Konto nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung des CosmosDB-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Data Factory muss Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen Consumern und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Mehr über private Links erfahren Sie hier: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, Deaktiviert	1.0.0
Azure Databricks-Cluster müssen öffentliche IP-Adressen deaktivieren	Das Deaktivieren der öffentlichen IP-Adresse von Clustern in Azure Databricks-Arbeitsbereichen verbessert die Sicherheit, weil damit sichergestellt wird, dass die Cluster nicht im öffentlichen Internet verfügbar gemacht werden. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity.	Überwachung, Verweigern, Deaktiviert	1.0.1
Azure Databricks-Arbeitsbereiche müssen sich in einem virtuellen Netzwerk befinden	Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Databricks-Arbeitsbereiche. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject.	Überwachung, Verweigern, Deaktiviert	1.0.2
Azure Databricks-Arbeitsbereiche sollten den öffentlichen Netzwerkzugriff deaktivieren	Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen steuern, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link.	Überwachung, Verweigern, Deaktiviert	1.0.1
Azure Databricks-Arbeitsbereiche müssen private Verbindung verwenden	Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen Consumern und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Databricks-Arbeitsbereichen können Sie das Risiko von Datenlecks verringern. Mehr über private Links erfahren Sie hier: https://aka.ms/adbpe.	Überwachung, Deaktiviert	1.0.2
Azure Event Grid-Domänen sollten Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter: https://aka.ms/privateendpoints.	Überwachung, Deaktiviert	1.0.2
Azure Event Grid-Themen sollten Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter: https://aka.ms/privateendpoints.	Überwachung, Deaktiviert	1.0.2
Azure-Dateisynchronisierung muss eine private Verbindung verwenden	Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird.	AuditIfNotExists, Deaktiviert	1.0.0
Azure Front Door-Profile sollten den Tarif „Premium“ verwenden, der verwaltete WAF-Regeln und private Verbindungen unterstützt	Azure Front Door Premium unterstützt von Azure verwaltete WAF-Regeln und private Verbindungen zu unterstützten Azure-Ursprüngen.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Key Vault sollte die Firewall aktiviert oder den Zugriff auf öffentliche Netzwerke deaktiviert haben	Aktivieren Sie die Schlüsseltresorfirewall so, dass der Schlüsseltresor standardmäßig nicht für öffentliche IP-Adressen zugänglich ist oder den Zugriff auf öffentliche Netzwerke für Ihren Schlüsseltresor deaktiviert, sodass er nicht über das öffentliche Internet zugänglich ist. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/general/network-security sowie unter https://aka.ms/akvprivatelink	Überwachung, Verweigern, Deaktiviert	3.3.0
Azure Key Vault-Instanzen müssen private Verbindungen verwenden	Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen Consumern und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Mehr über private Links erfahren Sie hier: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Azure Machine Learning Computes müssen sich in einem virtuellen Netzwerk befinden	Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Machine Learning Compute-Cluster und -Instanzen als auch für Ihre Subnetze. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Wenn ein Compute mit einem virtuellen Netzwerk konfiguriert wird, ist dieses nicht öffentlich adressierbar, und auf das virtuelle Netzwerk kann nur über VMs und Anwendungen innerhalb des virtuellen Netzwerks zugegriffen werden.	Überwachung, Deaktiviert	1.0.1
Für Azure Machine Learning-Arbeitsbereiche sollte der Zugriff über öffentliche Netzwerke deaktiviert sein	Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Arbeitsbereiche für maschinelles Lernen nicht über das öffentliche Internet zugänglich sind. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal.	Überwachung, Verweigern, Deaktiviert	2.0.1
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen Consumern und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Mehr über private Links erfahren Sie hier: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Überwachung, Deaktiviert	1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, Deaktiviert	1.0.0
Azure SignalR Service sollte Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Mehr über private Links erfahren Sie hier: https://aka.ms/asrs/privatelink.	Überwachung, Deaktiviert	1.0.0
Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren	Durch Deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) in Azure SQL Managed Instance wird die Sicherheit verbessert, indem sichergestellt wird, dass ein Zugriff nur in den zugehörigen virtuellen Netzwerke oder über private Endpunkte möglich ist. Weitere Informationen zum Zugriff auf öffentliche Netzwerke finden Sie unter https://aka.ms/mi-public-endpoint.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Mehr über private Links erfahren Sie hier: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Überwachung, Deaktiviert	1.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Überwachung, Verweigern, Deaktiviert	1.0.2
Der Azure Web PubSub-Dienst muss Private Link verwenden	Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Mehr über private Links erfahren Sie hier: https://aka.ms/awps/privatelink.	Überwachung, Deaktiviert	1.0.0
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen	Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet.	Überwachung, Verweigern, Deaktiviert	2.0.0
Containerregistrierungen sollten Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter: https://aka.ms/acr/private-link.	Überwachung, Deaktiviert	1.0.1
CosmosDB-Konten müssen Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Überwachung, Deaktiviert	1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen Consumern und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu diskAccesses wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, Deaktiviert	1.0.0
Event Hub-Namespaces müssen Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, Deaktiviert	1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden	Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc.	AuditIfNotExists, Deaktiviert	3.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Mehr über private Links erfahren Sie hier: https://aka.ms/iotdpsvnet.	Überwachung, Deaktiviert	1.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein	Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden.	AuditIfNotExists, Deaktiviert	3.0.0
Verwaltungsports virtueller Computer müssen mit der Just-In-Time-Netzwerkzugriffssteuerung geschützt werden	Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff (JIT) über Azure Security Center in Form von Empfehlungen überwacht	AuditIfNotExists, Deaktiviert	3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden	Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen. um Administratorzugriff auf den Computer zu erhalten.	AuditIfNotExists, Deaktiviert	3.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden	Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc.	AuditIfNotExists, Deaktiviert	3.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein	Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden.	Überwachung, Deaktiviert	1.1.0
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein	Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen.	Überwachung, Verweigern, Deaktiviert	1.1.0
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein	Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert.	Überwachung, Verweigern, Deaktiviert	2.0.0
Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein	Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert.	Überwachung, Verweigern, Deaktiviert	2.0.0
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein	Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert.	Überwachung, Verweigern, Deaktiviert	2.0.1
Der öffentliche Zugriff auf Speicherkonten muss untersagt sein	Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	3.1.1
Netzwerkzugriff auf Speicherkonten einschränken	Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden.	Überwachung, Verweigern, Deaktiviert	1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken	Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können.	Überwachung, Verweigern, Deaktiviert	1.0.1
Speicherkonten müssen Private Link verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Deaktiviert	2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden	Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern.	AuditIfNotExists, Deaktiviert	3.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden	Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen Consumern und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Mehr über private Links erfahren Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Überwachen, Deaktiviert, Verweigern	1.1.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Überwachung, Verweigern, Deaktiviert	2.0.0

U.07.3 Datentrennung – Verwaltungsfeatures

U.07.3: Die Berechtigungen zum Anzeigen oder Ändern von CSC-Daten und/oder -Verschlüsselungsschlüsseln werden kontrolliert erteilt, und die Verwendung protokolliert.

ID: NL BIO Cloud Theme U.07.3 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Maximal 3 Besitzende sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzende festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch eine kompromittierte Besitzerin bzw. einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Deaktiviert	3.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden	Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste.	AuditIfNotExists, Deaktiviert	1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Deaktiviert	3.0.0
In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein	Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption.	Überwachung, Deaktiviert	1.0.1
Verwendung benutzerdefinierter RBAC-Rollen überwachen	Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung.	Überwachung, Deaktiviert	1.0.1
Automation-Kontovariablen sollten verschlüsselt werden	Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden	Überwachung, Verweigern, Deaktiviert	1.1.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren)	Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter https://aka.ms/AI/auth	Überwachung, Verweigern, Deaktiviert	1.1.0
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Deaktiviert	1.0.0
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Deaktiviert	1.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Deaktiviert	3.0.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden	Um eine granulare Filterung anhand der durch die Benutzenden ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren.	Überwachung, Deaktiviert	1.1.0
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen	Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Festlegen der Schutzebene, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden	Überwachung, Verweigern, Deaktiviert	1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden	Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt	Überwachung, Verweigern, Deaktiviert	1.1.0
Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern	Hiermit wird die Anforderung von Azure Active Directory (Azure AD) zum Autorisieren von Anforderungen für Ihr Speicherkonto überwacht. Standardmäßig können Anforderungen entweder mit Azure Active Directory-Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels (bei einer Autorisierung mit einem gemeinsam verwendeten Schlüssel) autorisiert werden. Von diesen beiden Autorisierungsarten bietet Azure AD eine höhere Sicherheit und einfachere Verwendung gegenüber einem gemeinsam verwendeten Schlüssel und wird von Microsoft empfohlen.	Überwachung, Verweigern, Deaktiviert	2.0.0
Transparent Data Encryption für SQL-Datenbanken aktivieren	TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen	AuditIfNotExists, Deaktiviert	2.0.0
VPN-Gateways sollten nur Azure Active Directory-Authentifizierung (Azure AD) für Point-to-Site-Benutzende verwenden	Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass VPN Gateways ausschließlich Azure Active Directory-Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant.	Überwachung, Verweigern, Deaktiviert	1.0.0

U.09.3 Schutz vor Schadsoftware – Erkennung, Prävention und Wiederherstellung

Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt.

ID: NL BIO Cloud Theme U.09.3 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender for Cloud-Erweiterung installiert sein	Die Microsoft Defender for Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Kubernetes-Cluster mit Azure Arc-Unterstützung. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Deaktiviert	6.0.0-Vorschau
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden	Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen.	AuditIfNotExists, Deaktiviert	3.0.0
Azure DDoS Protection sollte aktiviert sein	DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist.	AuditIfNotExists, Deaktiviert	3.0.1
Azure Defender für App Service sollte aktiviert werden	Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Azure Defender für Key Vault sollte aktiviert werden	Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Resource Manager muss aktiviert sein	Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Pläne fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center.	AuditIfNotExists, Deaktiviert	1.0.0
Azure Defender für Server sollte aktiviert werden	Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden	Überwachen von SQL-Servern ohne Advanced Data Security	AuditIfNotExists, Deaktiviert	2.0.1
Azure Defender für SQL sollte für nicht geschützte SQL Managed Instance-Instanzen aktiviert werden	Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht.	AuditIfNotExists, Deaktiviert	1.0.2
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Überwachung, Verweigern, Deaktiviert	1.0.2
Funktions-Apps sollten die neueste „HTTP-Version“ verwenden	Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	4.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein	Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden.	AuditIfNotExists, Deaktiviert	3.0.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden	Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht.	Überwachung, Deaktiviert	1.0.2
Microsoft Defender for Containers sollte aktiviert sein	Microsoft Defender for Containers bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen.	AuditIfNotExists, Deaktiviert	1.0.0
Microsoft Defender für Storage sollte aktiviert sein	Microsoft Defender für Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender für den Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben.	AuditIfNotExists, Deaktiviert	1.0.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein	Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben.	AuditIfNotExists, Deaktiviert	1.0.1
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein	Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben.	AuditIfNotExists, Deaktiviert	3.0.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Überwachung, Verweigern, Deaktiviert	2.0.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein	Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows).	AuditIfNotExists, Deaktiviert	2.0.0

U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzende

Unter der Verantwortung des CSP wird Administrierenden der Zugriff gewährt.

ID: NL BIO Cloud Theme U.10.2 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Maximal 3 Besitzende sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzende festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch eine kompromittierte Besitzerin bzw. einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Deaktiviert	3.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden	Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste.	AuditIfNotExists, Deaktiviert	1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Deaktiviert	3.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen	AuditIfNotExists, Deaktiviert	3.1.0
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen	AuditIfNotExists, Deaktiviert	3.1.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen	Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung.	Überwachung, Deaktiviert	1.0.1
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden	Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden	Überwachung	1.0.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren)	Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter https://aka.ms/AI/auth	Überwachung, Verweigern, Deaktiviert	1.1.0
Lokale Authentifizierungsmethoden für Azure Machine Learning-Computeressourcen deaktivieren	Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/azure-ml-aad-policy.	Überwachung, Verweigern, Deaktiviert	2.1.0
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Deaktiviert	1.0.0
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Deaktiviert	1.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Deaktiviert	3.0.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden	Um eine granulare Filterung anhand der durch die Benutzenden ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren.	Überwachung, Deaktiviert	1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden	Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt	Überwachung, Verweigern, Deaktiviert	1.1.0
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden	Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung	Überwachung, Verweigern, Deaktiviert	1.0.0
Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern	Hiermit wird die Anforderung von Azure Active Directory (Azure AD) zum Autorisieren von Anforderungen für Ihr Speicherkonto überwacht. Standardmäßig können Anforderungen entweder mit Azure Active Directory-Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels (bei einer Autorisierung mit einem gemeinsam verwendeten Schlüssel) autorisiert werden. Von diesen beiden Autorisierungsarten bietet Azure AD eine höhere Sicherheit und einfachere Verwendung gegenüber einem gemeinsam verwendeten Schlüssel und wird von Microsoft empfohlen.	Überwachung, Verweigern, Deaktiviert	2.0.0
Ihrem Abonnement sollte mehrere Besitzende zugewiesen sein	Es wird empfohlen, mehrere Abonnementbesitzende festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten.	AuditIfNotExists, Deaktiviert	3.0.0
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden	Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung	Überwachung, Verweigern, Deaktiviert	1.0.0
VPN-Gateways sollten nur Azure Active Directory-Authentifizierung (Azure AD) für Point-to-Site-Benutzende verwenden	Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass VPN Gateways ausschließlich Azure Active Directory-Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant.	Überwachung, Verweigern, Deaktiviert	1.0.0

U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzende

Nur Benutzende mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen.

ID: NL BIO Cloud Theme U.10.3 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Maximal 3 Besitzende sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzende festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch eine kompromittierte Besitzerin bzw. einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Deaktiviert	3.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden	Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste.	AuditIfNotExists, Deaktiviert	1.0.0
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben	Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1.	AuditIfNotExists, Deaktiviert	1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Deaktiviert	3.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen	AuditIfNotExists, Deaktiviert	3.1.0
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen	AuditIfNotExists, Deaktiviert	3.1.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen	Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung.	Überwachung, Deaktiviert	1.0.1
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden	Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden	Überwachung	1.0.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren)	Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter https://aka.ms/AI/auth	Überwachung, Verweigern, Deaktiviert	1.1.0
Lokale Authentifizierungsmethoden für Azure Machine Learning-Computeressourcen deaktivieren	Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/azure-ml-aad-policy.	Überwachung, Verweigern, Deaktiviert	2.1.0
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Deaktiviert	1.0.0
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Deaktiviert	1.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Deaktiviert	3.0.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden	Um eine granulare Filterung anhand der durch die Benutzenden ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren.	Überwachung, Deaktiviert	1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden	Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt	Überwachung, Verweigern, Deaktiviert	1.1.0
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden	Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich.	AuditIfNotExists, Deaktiviert	3.0.0
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden	Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung	Überwachung, Verweigern, Deaktiviert	1.0.0
Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern	Hiermit wird die Anforderung von Azure Active Directory (Azure AD) zum Autorisieren von Anforderungen für Ihr Speicherkonto überwacht. Standardmäßig können Anforderungen entweder mit Azure Active Directory-Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels (bei einer Autorisierung mit einem gemeinsam verwendeten Schlüssel) autorisiert werden. Von diesen beiden Autorisierungsarten bietet Azure AD eine höhere Sicherheit und einfachere Verwendung gegenüber einem gemeinsam verwendeten Schlüssel und wird von Microsoft empfohlen.	Überwachung, Verweigern, Deaktiviert	2.0.0
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden	Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung	Überwachung, Verweigern, Deaktiviert	1.0.0
VPN-Gateways sollten nur Azure Active Directory-Authentifizierung (Azure AD) für Point-to-Site-Benutzende verwenden	Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass VPN Gateways ausschließlich Azure Active Directory-Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant.	Überwachung, Verweigern, Deaktiviert	1.0.0

U.10.5 Zugriff auf IT-Dienste und -Daten – Kompetent

Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert.

ID: NL BIO Cloud Theme U.10.5 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Maximal 3 Besitzende sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzende festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch eine kompromittierte Besitzerin bzw. einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Deaktiviert	3.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden	Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste.	AuditIfNotExists, Deaktiviert	1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Deaktiviert	3.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen	AuditIfNotExists, Deaktiviert	3.1.0
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen	AuditIfNotExists, Deaktiviert	3.1.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen	Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung.	Überwachung, Deaktiviert	1.0.1
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden	Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden	Überwachung	1.0.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren)	Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter https://aka.ms/AI/auth	Überwachung, Verweigern, Deaktiviert	1.1.0
Lokale Authentifizierungsmethoden für Azure Machine Learning-Computeressourcen deaktivieren	Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter: https://aka.ms/azure-ml-aad-policy.	Überwachung, Verweigern, Deaktiviert	2.1.0
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Deaktiviert	1.0.0
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde.	AuditIfNotExists, Deaktiviert	1.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden	Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden	AuditIfNotExists, Deaktiviert	3.0.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden	Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern.	AuditIfNotExists, Deaktiviert	1.0.0
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden	Um eine granulare Filterung anhand der durch die Benutzenden ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren.	Überwachung, Deaktiviert	1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden	Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt	Überwachung, Verweigern, Deaktiviert	1.1.0
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden	Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung	Überwachung, Verweigern, Deaktiviert	1.0.0
Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern	Hiermit wird die Anforderung von Azure Active Directory (Azure AD) zum Autorisieren von Anforderungen für Ihr Speicherkonto überwacht. Standardmäßig können Anforderungen entweder mit Azure Active Directory-Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels (bei einer Autorisierung mit einem gemeinsam verwendeten Schlüssel) autorisiert werden. Von diesen beiden Autorisierungsarten bietet Azure AD eine höhere Sicherheit und einfachere Verwendung gegenüber einem gemeinsam verwendeten Schlüssel und wird von Microsoft empfohlen.	Überwachung, Verweigern, Deaktiviert	2.0.0
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden	Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung	Überwachung, Verweigern, Deaktiviert	1.0.0
VPN-Gateways sollten nur Azure Active Directory-Authentifizierung (Azure AD) für Point-to-Site-Benutzende verwenden	Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass VPN Gateways ausschließlich Azure Active Directory-Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant.	Überwachung, Verweigern, Deaktiviert	1.0.0

U.11.1 Cryptoservices – Richtlinie

In der Kryptografierichtlinie wurden zumindest die Themen gemäß BIO ausgearbeitet.

ID: NL BIO Cloud Theme U.11.1 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Zugriff auf App Service-Apps nur über HTTPS gestatten	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Überwachen, Deaktiviert, Verweigern	4.0.0
App Service-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Deaktiviert	3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	2.1.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern	AuditIfNotExists, Deaktiviert	2.0.0
Automation-Kontovariablen sollten verschlüsselt werden	Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden	Überwachung, Verweigern, Deaktiviert	1.1.0
Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden	Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden.	Überwachung, Verweigern, Deaktiviert	1.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein	Azure Database for MySQL unterstützt die Verbindung Ihres Servers mit Azure Database for MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Überwachung, Deaktiviert	1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein	Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Überwachung, Deaktiviert	1.0.1
Zugriff auf Funktions-Apps nur über HTTPS gestatten	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Überwachen, Deaktiviert, Verweigern	5.0.0
Funktions-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Deaktiviert	3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	2.1.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können	Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	8.2.0
Für Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein	Aktivieren Sie die Überwachung nur für Verbindungen über SSL mit Azure Cache for Redis. Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking	Überwachung, Verweigern, Deaktiviert	1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden	Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Überwachung, Verweigern, Deaktiviert	2.0.0
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen	Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Festlegen der Schutzebene, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden	Überwachung, Verweigern, Deaktiviert	1.1.0
Transparent Data Encryption für SQL-Datenbanken aktivieren	TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen	AuditIfNotExists, Deaktiviert	2.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein	Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird.	AuditIfNotExists, Deaktiviert	4.1.1

U.11.2 Cryptoservices – Kryptografische Maßnahmen

Bei PKIoverheid-Zertifikaten werden PKIoverheid-Anforderungen für die Schlüsselverwaltung verwendet. Verwenden Sie in anderen Situationen ISO 11770.

ID: NL BIO Cloud Theme U.11.2 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Zugriff auf App Service-Apps nur über HTTPS gestatten	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Überwachen, Deaktiviert, Verweigern	4.0.0
App Service-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Deaktiviert	3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	2.1.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern	Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Einzelheiten dazu finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern	AuditIfNotExists, Deaktiviert	2.0.0
Automation-Kontovariablen sollten verschlüsselt werden	Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden	Überwachung, Verweigern, Deaktiviert	1.1.0
Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden	Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden.	Überwachung, Verweigern, Deaktiviert	1.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein	Azure Database for MySQL unterstützt die Verbindung Ihres Servers mit Azure Database for MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Überwachung, Deaktiviert	1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein	Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist.	Überwachung, Deaktiviert	1.0.1
Zugriff auf Funktions-Apps nur über HTTPS gestatten	Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt.	Überwachen, Deaktiviert, Verweigern	5.0.0
Funktions-Apps sollten nur FTPS erfordern	Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit.	AuditIfNotExists, Deaktiviert	3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden	Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren.	AuditIfNotExists, Deaktiviert	2.1.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können	Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	8.2.0
Für Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein	Aktivieren Sie die Überwachung nur für Verbindungen über SSL mit Azure Cache for Redis. Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking	Überwachung, Verweigern, Deaktiviert	1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden	Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking.	Überwachung, Verweigern, Deaktiviert	2.0.0
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen	Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Festlegen der Schutzebene, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden	Überwachung, Verweigern, Deaktiviert	1.1.0
Transparent Data Encryption für SQL-Datenbanken aktivieren	TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen	AuditIfNotExists, Deaktiviert	2.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein	Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird.	AuditIfNotExists, Deaktiviert	4.1.1

U.11.3 Cryptoservices – Verschlüsselt

Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom COSEC verwaltet werden.

ID: NL BIO Cloud Theme U.11.3 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
[Vorschau]: Azure Recovery Services Tresore sollten kundenseitit verwaltete Schlüssel für die Verschlüsselung von Sicherungsdaten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/AB-CmkEncryption.	Überwachung, Verweigern, Deaktiviert	1.0.0-Vorschau
[Vorschau]: Für unterstützte virtuelle Linux-Computer muss die Erweiterung für den Gastnachweis installiert sein	Installieren Sie auf unterstützten virtuellen Linux-Computer die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	AuditIfNotExists, Deaktiviert	6.0.0-Vorschau
[Vorschau]: Für unterstützte virtuelle Linux-Computer-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein	Installieren Sie in unterstützten virtuellen Linux-Computer-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	AuditIfNotExists, Deaktiviert	5.1.0-Vorschau
[Vorschau]: Für unterstützte virtuelle Windows-Computer muss die Erweiterung für den Gastnachweis installiert sein	Installieren Sie auf unterstützten virtuellen Computer die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	AuditIfNotExists, Deaktiviert	4.0.0-Vorschau
[Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein.	Installieren Sie in unterstützten VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	AuditIfNotExists, Deaktiviert	3.1.0-Vorschau
[Vorschau]: Daten des IoT Hub Device Provisioning Service müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub Device Provisioning Service zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK.	Überwachung, Verweigern, Deaktiviert	1.0.0-Vorschau
[Vorschau]: Für unterstützte virtuelle Windows-Computer muss der sichere Neustart aktiviert sein	Die Aktivierung des „Sicheren Starts“ auf unterstützten virtuellen Windows-Computern dient als Schutz vor schädlichen und nicht autorisierten Änderungen der Startkette. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“.	Überwachung, Deaktiviert	4.0.0-Vorschau
[Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden	Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs.	Überwachung, Deaktiviert	2.0.0-Vorschau
Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln	Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich.	Überwachung, Verweigern, Deaktiviert	2.2.0
Azure-API für FHIR muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln ruhender Daten verwenden	Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung der in Azure-API für FHIR gespeicherten ruhenden Daten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird.	überwachen, Überwachung, deaktiviert, Deaktiviert	1.1.0
Azure Automation-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Automation-Konten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/automation-cmk.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/Batch-CMK.	Überwachung, Verweigern, Deaktiviert	1.0.1
Für Azure Batch-Pools sollte die Datenträgerverschlüsselung aktiviert sein	Wenn Sie die Azure Batch-Datenträgerverschlüsselung aktivieren, wird sichergestellt, dass ruhende Daten in Ihrem Azure Batch-Computeknoten immer verschlüsselt sind. Weitere Informationen zur Datenträgerverschlüsselung in Batch finden Sie unter https://docs.microsoft.com/azure/batch/disk-encryption.	Überwachen, Deaktiviert, Verweigern	1.0.0
Azure Container Instances-Containergruppe muss einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden	Schützen Sie Ihre Container mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen kundenseitig verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten.	Überwachen, Deaktiviert, Verweigern	1.0.0
Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/cosmosdb-cmk.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren	Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Data Box-Aufträge müssen einen kundenseitig verwalteten Schlüssel zum Verschlüsseln des Kennworts für die Geräteentsperrung verwenden	Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung des Kennworts für die Geräteentsperrung für Azure Data Box zu steuern. Kundenseitig verwaltete Schlüssel bieten zudem Unterstützung beim Verwalten des Zugriffs auf das Kennwort zur Geräteentsperrung durch den Data Box Dienst, um das Gerät vorzubereiten und Daten automatisiert zu kopieren. Die Daten auf dem Gerät selbst sind bereits im Ruhezustand mit einer AES-256-Verschlüsselung (Advanced Encryption Standard) verschlüsselt, und das Kennwort zur Geräteentsperrung wird standardmäßig mit einem von Microsoft verwalteten Schlüssel verschlüsselt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Data Explorer-Verschlüsselung ruhender Daten muss einen kundenseitig verwalteten Schlüssel verwenden	Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihrem Azure Data Explorer-Cluster bietet zusätzliche Kontrolle über den Schlüssel, der von der Verschlüsselung ruhender Schlüssel verwendet wird. Dieses Feature ist häufig für Kunden mit speziellen Complianceanforderungen relevant und erfordert eine Key Vault-Instanz zur Verwaltung der Schlüssel.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/adf-cmk.	Überwachung, Verweigern, Deaktiviert	1.0.1
Azure Edge Hardware Center-Geräte sollten die Unterstützung für doppelte Verschlüsselung aktiviert haben	Stellen Sie sicher, dass für über Azure Edge Hardware Center bestellte Geräte die Unterstützung für die doppelte Verschlüsselung aktiviert ist, um die ruhenden Daten auf dem Gerät zu schützen. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt.	Überwachung, Verweigern, Deaktiviert	2.0.0
Azure HDInsight-Cluster müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure HDInsight-Cluster zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/hdi.cmk.	Überwachung, Verweigern, Deaktiviert	1.0.1
Azure HDInsight-Cluster müssen Verschlüsselung auf dem Host zur Verschlüsselung ruhender Daten verwenden	Durch das Aktivieren der Verschlüsselung auf dem Host können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn Sie die Verschlüsselung auf dem Host aktivieren, werden die auf dem VM-Host gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/azureml-workspaces-cmk.	Überwachung, Verweigern, Deaktiviert	1.1.0
Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung)	Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Erstellen Sie Azure Monitor-Protokollcluster mit Verschlüsselung durch kundenseitig verwaltete Schlüssel. Standardmäßig werden die Protokolldaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit dem kundenseitig verwalteten Schlüssel in Azure Monitor haben Sie eine bessere Kontrolle über den Zugriff auf Ihre Daten. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Azure Stream Analytics-Aufträge sollten kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie alle Metadaten und privaten Datenbestände Ihrer Stream Analytics-Aufträge sicher in Ihrem Speicherkonto speichern möchten. Dadurch haben Sie die vollständige Kontrolle darüber, wie Ihre Stream Analytics-Daten verschlüsselt werden.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten zu steuern, die in Azure Synapse-Arbeitsbereichen gespeichert sind. Kundenseitig verwaltete Schlüssel bieten eine Mehrfachverschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird.	Überwachung, Verweigern, Deaktiviert	1.0.0
Bot Service muss mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden	Azure Bot Service verschlüsselt Ihre Ressource automatisch, um Ihre Daten zu schützen sowie die Sicherheits- und Complianceanforderungen der Organisation zu erfüllen. Standardmäßig werden von Microsoft verwaltete Verschlüsselungsschlüssel verwendet. Wählen Sie kundenseitig verwaltete Schlüssel (auch als Bring Your Own Key (BYOK) bezeichnet) aus, um mehr Flexibilität bei der Verwaltung von Schlüsseln oder der Steuerung des Zugriffs auf Ihr Abonnement zu haben. Weitere Informationen zur Azure Bot Service-Verschlüsselung finden Sie hier: https://docs.microsoft.com/azure/bot-service/bot-service-encryption.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden	Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards.	Überwachung, Verweigern, Deaktiviert	1.0.1
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/acr/CMK.	Überwachung, Verweigern, Deaktiviert	1.1.2
Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein	Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen.	Überwachung, Verweigern, Deaktiviert	2.0.0
Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein	Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt.	Überwachung, Verweigern, Deaktiviert	2.0.0
Für Event Hub-Namespaces muss ein kundenseitig verwalteter Schlüssel zur Verschlüsselung verwendet werden	Azure Event Hubs unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Event Hub zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Event Hub nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Namespaces in dedizierten Clustern unterstützt.	Überwachung, Deaktiviert	1.0.0
HPC Cache-Konten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden	Verwalten Sie die Verschlüsselung ruhender Azure HPC Cache-Daten mithilfe von kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung.	Überwachen, Deaktiviert, Verweigern	2.0.0
Infrastrukturverschlüsselung muss für Azure Database for MySQL-Server aktiviert sein	Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for MySQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten mithilfe der von Microsoft verwalteten FIPS 140-2-konformen Schlüsseln doppelt verschlüsselt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Infrastrukturverschlüsselung muss für Azure Database for PostgreSQL-Server aktiviert sein	Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for PostgreSQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten doppelt mithilfe FIPS 140-2-konformer Schlüssel verschlüsselt, die von Microsoft verwaltet werden.	Überwachung, Verweigern, Deaktiviert	1.0.0
Logic Apps-Integrationsdienstumgebung muss mit kundenseitig verwalteten Schlüsseln verschlüsselt werden	Führen Sie eine Bereitstellung in einer Integrationsdienstumgebung durch, um die Verschlüsselung ruhender Logic Apps-Daten mithilfe kundenseitig verwalteter Schlüssel zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung.	Überwachung, Verweigern, Deaktiviert	1.0.0
Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden	Kundinnen und Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert wird, können nun mit plattformseitig verwalteten Verschlüsselungsschlüsseln einen anderen, zusätzlichen Verschlüsselungsalgorithmus/-modus auf Infrastrukturebene nutzen. Für die Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption.	Überwachung, Verweigern, Deaktiviert	1.0.0
MySQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung.	AuditIfNotExists, Deaktiviert	1.0.4
Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung der ruhenden Daten Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Zur Einhaltung behördlicher Konformitätsstandards werden jedoch häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr unter https://aka.ms/disks-cmk.	Überwachung, Verweigern, Deaktiviert	3.0.0
PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung.	AuditIfNotExists, Deaktiviert	1.0.4
Gespeicherte Abfragen in Azure Monitor müssen zur Protokollverschlüsselung im Kundenspeicherkonto gespeichert werden	Verknüpfen Sie das Speicherkonto mit einem Log Analytics-Arbeitsbereich, um gespeicherte Abfragen durch eine Verschlüsselung des Speicherkontos zu schützen. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre gespeicherten Abfragen in Azure Monitor zu erhalten. Ausführlichere Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	überwachen, Überwachung, verweigern, Verweigern, deaktiviert, Deaktiviert	1.1.0
Für Service Bus Premium-Namespaces muss ein kundenseitig verwaltete Schlüssel zur Verschlüsselung verwendet werden	Azure Service Bus unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Service Bus zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Service Bus nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Premium-Namespaces unterstützt.	Überwachung, Deaktiviert	1.0.0
Für SQL Managed Instance sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwendet werden	Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen.	Überwachung, Verweigern, Deaktiviert	2.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen.	Überwachung, Verweigern, Deaktiviert	2.0.1
Verschlüsselungsbereiche für Speicherkonten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden	Verwenden Sie kundenseitig verwaltete Schlüssel zur Verwaltung ruhender Verschlüsselungen Ihrer Verschlüsselungsbereiche für Speicherkonten. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu Verschlüsselungsbereichen für Speicherkonten finden Sie unter https://aka.ms/encryption-scopes-overview.	Überwachung, Verweigern, Deaktiviert	1.0.0
Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen	Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt.	Überwachung, Verweigern, Deaktiviert	1.0.0
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden	Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen kundenseitig verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten.	Überwachung, Deaktiviert	1.0.3
Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden	Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards.	Überwachung, Verweigern, Deaktiviert	1.0.1
Transparent Data Encryption für SQL-Datenbanken aktivieren	TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen	AuditIfNotExists, Deaktiviert	2.0.0
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein	Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Durch die Verschlüsselung auf Hostebene werden auch die ruhenden Daten in den Caches Ihrer temporären Datenträger und Betriebssystemdatenträger/VM-Datenträger verschlüsselt. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Betriebssystemdatenträger/VM-Datenträger werden im Ruhezustand entweder mit einem kunden- oder plattformseitig verwalteten Schlüssel verschlüsselt, je nachdem, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe.	Überwachung, Verweigern, Deaktiviert	1.0.0

U.12.1 Schnittstellen – Netzwerkverbindungen

An Verbindungsstellen mit externen oder nicht vertrauenswürdigen Zonen werden Maßnahmen gegen Angriffe ergriffen.

ID: NL BIO Cloud Theme U.12.1 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind	Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen.	AuditIfNotExists, Deaktiviert	3.0.0
Azure DDoS Protection sollte aktiviert sein	DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist.	AuditIfNotExists, Deaktiviert	3.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Überwachung, Verweigern, Deaktiviert	1.0.2
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein	Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden.	AuditIfNotExists, Deaktiviert	3.0.0
Netzwerkzugriff auf Speicherkonten einschränken	Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden.	Überwachung, Verweigern, Deaktiviert	1.1.1
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Überwachung, Verweigern, Deaktiviert	2.0.0

U.12.2 Schnittstellen – Netzwerkverbindungen

Netzwerkkomponenten sind so, dass Netzwerkverbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken eingeschränkt sind.

ID: NL BIO Cloud Theme U.12.2 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind	Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen.	AuditIfNotExists, Deaktiviert	3.0.0
Azure DDoS Protection sollte aktiviert sein	DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist.	AuditIfNotExists, Deaktiviert	3.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Überwachung, Verweigern, Deaktiviert	1.0.2
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein	Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden.	AuditIfNotExists, Deaktiviert	3.0.0
Netzwerkzugriff auf Speicherkonten einschränken	Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden.	Überwachung, Verweigern, Deaktiviert	1.1.1
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein	Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken.	Überwachung, Verweigern, Deaktiviert	2.0.0

U.15.1 Protokollierung und Überwachung – Protokollierte Ereignisse

Die Verletzung der Richtlinienregeln wird vom CSP und vom COSEC aufgezeichnet.

ID: NL BIO Cloud Theme U.15.1 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender for Cloud-Erweiterung installiert sein	Die Microsoft Defender for Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Kubernetes-Cluster mit Azure Arc-Unterstützung. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Deaktiviert	6.0.0-Vorschau
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein	Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist.	AuditIfNotExists, Deaktiviert	1.0.1-Vorschau
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein	Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist.	AuditIfNotExists, Deaktiviert	1.0.1-Vorschau
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden	Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen.	AuditIfNotExists, Deaktiviert	1.0.2-Vorschau
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf Windows-VMs installiert sein	Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen.	AuditIfNotExists, Deaktiviert	1.0.2-Vorschau
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	2.0.1
Hiermit wird die Diagnoseeinstellung für ausgewählte Ressourcentypen überwacht.	Überwachen der Diagnoseeinstellung für ausgewählte Ressourcentypen. Achten Sie darauf, nur Ressourcentypen auszuwählen, die Diagnoseeinstellungen unterstützen.	AuditIfNotExists	2.0.1
Die Überwachung in SQL Server muss aktiviert werden	Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern.	AuditIfNotExists, Deaktiviert	2.0.0
Azure Defender für App Service sollte aktiviert werden	Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Azure Defender für Key Vault sollte aktiviert werden	Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für Resource Manager muss aktiviert sein	Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Pläne fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center.	AuditIfNotExists, Deaktiviert	1.0.0
Azure Defender für Server sollte aktiviert werden	Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten.	AuditIfNotExists, Deaktiviert	1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden	Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten.	AuditIfNotExists, Deaktiviert	1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden	Überwachen von SQL-Servern ohne Advanced Data Security	AuditIfNotExists, Deaktiviert	2.0.1
Azure Defender für SQL sollte für nicht geschützte SQL Managed Instance-Instanzen aktiviert werden	Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht.	AuditIfNotExists, Deaktiviert	1.0.2
Für Azure Front Door müssen Ressourcenprotokolle aktiviert sein	Aktivieren Sie Ressourcenprotokolle für Azure Front Door (plus WAF), und streamen Sie sie in einen Log Analytics-Arbeitsbereich. Erhalten Sie detaillierte Einblicke in eingehenden Webdatenverkehr und Aktionen zur Abwehr von Angriffen.	AuditIfNotExists, Deaktiviert	1.0.0
Für Azure Front Door Standard oder Premium (Plus WAF) müssen Ressourcenprotokolle aktiviert sein	Aktivieren Sie Ressourcenprotokolle für Azure Front Door Standard oder Premium (plus WAF), und streamen Sie sie in einen Log Analytics-Arbeitsbereich. Erhalten Sie detaillierte Einblicke in eingehenden Webdatenverkehr und Aktionen zur Abwehr von Angriffen.	AuditIfNotExists, Deaktiviert	1.0.0
Bereitstellung des Dependency-Agents überwachen – VM-Image (Betriebssystem) nicht aufgelistet	Meldet VMs als nicht konform, wenn das VM-Image nicht in der Liste definiert und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, wenn Unterstützung hinzugefügt wird.	AuditIfNotExists, Deaktiviert	2.0.0
Für die aufgelisteten VM-Images muss der Dependency-Agent in VM-Skalierungsgruppen aktiviert werden	Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der Liste definiert und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, wenn Unterstützung hinzugefügt wird.	AuditIfNotExists, Deaktiviert	2.0.0
Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein	Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol.	AuditIfNotExists, Deaktiviert	1.0.3
Microsoft Defender for Containers sollte aktiviert sein	Microsoft Defender for Containers bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen.	AuditIfNotExists, Deaktiviert	1.0.0
Microsoft Defender für Storage sollte aktiviert sein	Microsoft Defender für Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender für den Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben.	AuditIfNotExists, Deaktiviert	1.0.0
Network Watcher muss aktiviert sein	Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt.	AuditIfNotExists, Deaktiviert	3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	5.0.0
Ressourcenprotokolle in Azure Databricks-Arbeitsbereichen müssen aktiviert sein.	Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten zu Untersuchungszwecken nachzuvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	1.0.1
Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein	Azure Kubernetes Service-Ressourcenprotokolle können bei der Untersuchung von Sicherheitsincidents dabei helfen, Aktivitätspfade neu zu erstellen. Aktivieren Sie diese Option, um sicherzustellen, dass die Protokolle bei Bedarf vorhanden sind.	AuditIfNotExists, Deaktiviert	1.0.0
Ressourcenprotokolle im Azure Machine Learning-Arbeitsbereich müssen aktiviert sein	Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten zu Untersuchungszwecken nachzuvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	1.0.1
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	3.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist	AuditIfNotExists, Deaktiviert	5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein	Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist.	AuditIfNotExists, Deaktiviert	5.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden	Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol	AuditIfNotExists, Deaktiviert	1.0.1

U.15.3 Protokollierung und Überwachung – Protokollierte Ereignisse

CSP verwaltet eine Liste aller Ressourcen, die für die Protokollierung und Überwachung von entscheidender Bedeutung sind, und überprüft diese Liste.

ID: NL BIO Cloud Theme U.15.3 Besitz: Freigegeben

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Hiermit wird die Diagnoseeinstellung für ausgewählte Ressourcentypen überwacht	Überwachen der Diagnoseeinstellung für ausgewählte Ressourcentypen. Achten Sie darauf, nur Ressourcentypen auszuwählen, die Diagnoseeinstellungen unterstützen.	AuditIfNotExists	2.0.1
Die Überwachung in SQL Server muss aktiviert werden	Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern.	AuditIfNotExists, Deaktiviert	2.0.0
Bereitstellung des Dependency-Agents überwachen – VM-Image (Betriebssystem) nicht aufgelistet	Meldet VMs als nicht konform, wenn das VM-Image nicht in der Liste definiert und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, wenn Unterstützung hinzugefügt wird.	AuditIfNotExists, Deaktiviert	2.0.0
Für die aufgelisteten VM-Images muss der Dependency-Agent in VM-Skalierungsgruppen aktiviert werden	Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der Liste definiert und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, wenn Unterstützung hinzugefügt wird.	AuditIfNotExists, Deaktiviert	2.0.0

U.17.1 Multimandantenarchitektur – Verschlüsselt

COSEC-Daten zum Transport und ruhenden Daten werden verschlüsselt.

ID: NL BIO Cloud Theme U.17.1 Besitz: Microsoft

Name (Azure-Portal)	Beschreibung	Auswirkungen	Version (GitHub)
Maximal 3 Besitzende sollten für Ihr Abonnement festgelegt sein	Es wird empfohlen, bis zu drei Abonnementbesitzende festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch eine kompromittierte Besitzerin bzw. einen kompromittierten Besitzer zu verringern.	AuditIfNotExists, Deaktiviert	3.0.0
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist	Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Azure Backup muss für Virtual Machines aktiviert sein	Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure.	AuditIfNotExists, Deaktiviert	3.0.0
Ihrem Abonnement sollte mehrere Besitzende zugewiesen sein	Es wird empfohlen, mehrere Abonnementbesitzende festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten.	AuditIfNotExists, Deaktiviert	3.0.0
Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein	Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren.	AuditIfNotExists, Deaktiviert	1.0.0

Nächste Schritte

Weitere Artikel über Azure Policy:

• Übersicht über die Einhaltung gesetzlicher Bestimmungen.
• Weitere Informationen finden Sie unter Struktur der Initiativendefinition.
• Sehen Sie sich weitere Beispiele unter Azure Policy-Beispiele an.
• Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
• Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.