Azure-Sicherheitsbaseline für Azure Active Directory

Mit dieser Sicherheitsbaseline werden Leitlinien aus Azure Security Benchmark Version 2.0 für Azure Active Directory angewendet. Der Azure-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt ist nach den Sicherheitssteuerelementen gegliedert, die in Azure Security Benchmark und in den entsprechenden Leitlinien für Azure Active Directory definiert wurden.

Wenn ein Feature relevante Azure Policy Definitionen enthält, werden sie in diesem Basisplan aufgeführt, um die Compliance für die Azure Security Benchmark-Steuerelemente und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Kontrollmechanismen, die nicht für Azure Active Directory gelten, und Kontrollmechanismen, für die der globale Leitfaden wortwörtlich empfohlen wird, wurden ausgeschlossen. Die vollständige Zuordnung von Azure Active Directory zu Azure Security Benchmark finden Sie in der Datei mit der vollständigen Zuordnung der Azure Active Directory-Sicherheitsbaseline.

Netzwerksicherheit

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Netzwerksicherheit.

NS-6: Vereinfachen von Netzwerksicherheitsregeln

Leitfaden: Verwenden Sie Diensttags von virtuellen Azure-Netzwerke, um Netzwerkzugriffssteuerungen für Netzwerksicherheitsgruppen oder eine für Ihre Azure Active Directory-Ressourcen konfigurierte Azure Firewall-Lösung zu definieren. Sie können Diensttags anstelle von spezifischen IP-Adressen nutzen, wenn Sie Sicherheitsregeln erstellen. Durch Angeben des Diensttagnamens (z. B. „AzureActiveDirectory“) im entsprechenden Quell- oder Zielfeld einer Regel können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern.

Verantwortlichkeit: Kunde

NS-7: Secure Domain Name Service (DNS)

Leitfaden: Azure Active Directory lässt keine Konfiguration der zugrunde liegenden DNS-Einträge zu. Diese Einstellungen werden von Microsoft verwaltet.

Verantwortlichkeit: Microsoft

Identitätsverwaltung

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Identitätsverwaltung.

IM-1: Standardisieren von Azure Active Directory als zentrales Identitäts- und Authentifizierungssystem

Leitlinie: Verwenden Sie Azure Active Directory (Azure AD) als Standarddienst für die Identitäts- und Zugriffsverwaltung. Sie sollten Azure AD als Standard für die Identitäts- und Zugriffsverwaltung Ihrer Organisation verwenden:

  • Microsoft-Cloudressourcen, wie z. B. das Azure-Portal, Azure Storage, Azure-VMs (Linux und Windows), Azure Key Vault, PaaS- und SaaS-Anwendungen.
  • Die Ressourcen Ihrer Organisation, z. B. Anwendungen in Azure oder Ihre Unternehmensnetzwerkressourcen.

Die Sicherung von Azure AD sollte bei den Methoden Ihrer Organisation im Zusammenhang mit Cloudsicherheit eine hohe Priorität haben. Azure AD bietet eine Identitätssicherheitsbewertung, die Ihnen dabei hilft, den Identitätssicherheitsstatus in Bezug auf die Empfehlungen zu bewährten Methoden von Microsoft zu bewerten. Verwenden Sie die Bewertung, um zu beurteilen, wie gut Ihre Konfiguration den Empfehlungen zu bewährten Methoden entspricht, und um Ihren Sicherheitsstatus zu verbessern.

Hinweis: Azure AD unterstützt externe Identitäten, die es Benutzern ohne Microsoft-Konto ermöglichen, sich mit ihrer externen Identität bei ihren Anwendungen und Ressourcen anzumelden.

Verantwortlichkeit: Kunde

IM-2: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Leitlinie: Verwenden Sie bei Konten, die nicht für Personen, sondern für Dienste oder die Automatisierung bestimmt sind, verwaltete Identitäten für Azure-Ressourcen. Für den Zugriff auf Ihre Ressourcen oder für das Ausführen dieser Ressourcen empfiehlt es sich, anstelle eines leistungsfähigeren personenbezogenen Kontos das Azure-Feature „Verwaltete Identitäten“ zu verwenden. Sie können sich nativ mithilfe einer vordefinierten Zugriffsgewährungsregel bei Azure-Diensten oder -Ressourcen, welche die Azure Active Directory (Azure AD)-Authentifizierung unterstützen, authentifizieren, ohne im Quellcode oder in Konfigurationsdateien hartcodierte Anmeldeinformationen verwenden zu müssen. Sie können Azure AD-Ressourcen keine verwalteten Azure-Identitäten zuweisen. Azure AD stellt jedoch den Mechanismus für die Authentifizierung mit verwalteten Identitäten bereit, die den Ressourcen eines anderen Diensts zugewiesen sind.

Verantwortlichkeit: Kunde

IM-3: Verwenden von Azure AD Single Sign-on (SSO) für den Anwendungszugriff

Leitlinie: Verwenden Sie Azure Active Directory, um die Identitäts- und Zugriffsverwaltung für Azure-Ressourcen, Cloudanwendungen und lokale Anwendungen bereitzustellen. Dies umfasst sowohl Unternehmensidentitäten wie Mitarbeiter als auch externe Identitäten wie Partner, Anbieter und Zulieferer. Dies ermöglicht SSO (Single Sign-On, einmaliges Anmelden) die Verwaltung und den Schutz des Zugriffs auf die Daten und Ressourcen Ihrer Organisation, die lokal und in der Cloud gespeichert sind. Verbinden Sie all Ihre Benutzer, Anwendungen und Geräte mit Azure AD, um einen nahtlosen, sicheren Zugriff sowie mehr Transparenz und Kontrolle zu ermöglichen.

Verantwortlichkeit: Kunde

Privilegierter Zugriff

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Privilegierter Zugriff.

PA-1: Schützen und Einschränken stark privilegierter Benutzer

Leitlinie: Die wichtigsten integrierten Rollen in Azure AD sind „Globaler Administrator“ und „Administrator für privilegierte Rollen“, da Benutzer, die diesen beiden Rollen zugewiesen sind, Administratorrollen delegieren können:

  • Globaler Administrator: Benutzer mit dieser Rolle haben Zugriff auf alle administrativen Funktionen in Azure AD sowie auf Dienste, die Azure AD-Identitäten verwenden.

  • Administrator für privilegierte Rollen: Benutzer mit dieser Rolle können Rollenzuweisungen in Azure AD und Azure AD Privileged Identity Management (PIM) verwalten. Überdies ermöglicht diese Rolle Verwaltung aller Aspekte von PIM und administrativer Einheiten.

Hinweis: Möglicherweise verfügen Sie über weitere kritische Rollen, die geregelt werden müssen, wenn Sie benutzerdefinierte Rollen mit bestimmten zugewiesenen privilegierten Berechtigungen verwenden. Es empfiehlt sich, ähnliche Kontrollelemente auch auf das Administratorkonto für kritische Unternehmensressourcen anzuwenden.

Azure AD enthält Konten mit weitreichenden Berechtigungen: Benutzer und Dienstprinzipale, die direkt oder indirekt den Rollen „Globaler Administrator“ oder „Administrator für privilegierte Rollen“ zugewiesen sind (oder die für diese Rollen berechtigt sind), sowie andere Rollen mit weitreichenden Berechtigungen in Azure AD und Azure.

Begrenzen Sie die Anzahl der Konten mit weitreichenden Berechtigungen, und schützen Sie diese Konten auf höherer Ebene, da Benutzer mit dieser Berechtigung direkt oder indirekt alle Ressourcen in Ihrer Azure-Umgebung lesen und ändern können.

Mit Azure AD Privileged Identity Management (PIM) können Sie privilegierten Just-in-Time-Zugriff (JIT) auf Azure-Ressourcen und Azure AD ermöglichen. JIT erteilt nur dann temporäre Berechtigungen zur Ausführung privilegierter Aufgaben, wenn die Benutzer sie benötigen. PIM kann auch Sicherheitswarnungen erzeugen, wenn es in Ihrer Azure AD-Organisation verdächtige oder unsichere Aktivitäten gibt.

Verantwortlichkeit: Kunde

PA-3: Regelmäßiges Überprüfen und Abstimmen des Benutzerzugriffs

Leitlinie: Überprüfen Sie die Zugriffszuweisungen von Benutzerkonten regelmäßig, um sicherzustellen, dass die Konten und der entsprechende Zugriff gültig sind. Achten Sie besonders auf die Rollen mit weitreichenden Berechtigungen, darunter auch die Rollen „Globaler Administrator“ und „Administrator für privilegierte Rollen“. Mithilfe von Azure Active Directory (Azure AD)-Zugriffsüberprüfungen können Sie Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen sowohl für Azure AD- als auch für Azure-Rollen überprüfen. Azure AD-Berichte können Protokolle zum Ermitteln von veralteten Konten bereitstellen. Sie können Azure AD Privileged Identity Management auch verwenden, um einen Workflow für den Zugriffsüberprüfungsbericht zu erstellen und so den Überprüfungsprozess zu vereinfachen.

Darüber hinaus kann Azure Privileged Identity Management auch so konfiguriert werden, dass eine Warnung gesendet wird, wenn übermäßig viele Administratorkonten erstellt werden, und veraltete oder falsch konfigurierte Administratorkonten ermittelt werden.

Verantwortlichkeit: Kunde

PA-6: Verwenden von Privileged Access Workstations

Leitfaden: Gesicherte, isolierte Arbeitsstationen sind von entscheidender Bedeutung für die Sicherheit sensibler Rollen wie Administratoren, Entwickler und Operatoren kritischer Dienste. Verwenden Sie stark gesicherte Benutzerworkstations und/oder Azure Bastion für administrative Aufgaben. Verwenden Sie Azure Active Directory, Microsoft Defender Advanced Threat Protection (ATP) und/oder Microsoft Intune, um eine sichere und verwaltete Benutzerworkstation für administrative Aufgaben einzurichten. Die gesicherten Workstations können zentral verwaltet werden, um eine gesicherte Konfiguration einschließlich starker Authentifizierung, Software- und Hardwarebaselines, eingeschränktem logischen und Netzwerkzugang durchzusetzen.

Verantwortlichkeit: Kunde

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Leitlinie: Kunden können ihre Azure Active Directory (Azure AD)-Bereitstellung mit den niedrigsten Rechten konfigurieren, indem sie Benutzer den Rollen mit den Mindestberechtigungen zuweisen, die Benutzer zum Ausführen ihrer administrativen Aufgaben benötigen.

Verantwortlichkeit: Kunde

PA-8: Auswählen des Genehmigungsprozesses für Microsoft-Support

Leitlinie: Azure Active Directory unterstützt keine Kunden-Lockbox. Microsoft arbeitet ggf. nicht mit Lockbox-Methoden, um bei den Kunden die Genehmigung für den Zugriff auf Kundendaten einzuholen.

Verantwortlichkeit: Shared

Datenschutz

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Schutz von Daten.

DP-2: Schützen von vertraulichen Daten

Leitlinie: Beachten Sie die folgenden Anweisungen für die Implementierung des Schutzes für Ihre sensiblen Daten:

  • Isolation: Ein Verzeichnis ist die Datengrenze, bis zu der Azure Active Directory (Azure AD)-Dienste Daten für einen Kunden speichern und verarbeiten. Kunden sollten festlegen, wo sich die meisten ihrer Azure AD-Kundendaten befinden sollen, indem sie in ihrem Verzeichnis die Eigenschaft „Land“ festlegen.

  • Segmentierung: Die Rolle des globalen Administrators hat die vollständige Kontrolle über alle Verzeichnisdaten und die Regeln, die Zugriffs- und Verarbeitungsanweisungen regeln. Ein Verzeichnis kann in Verwaltungseinheiten unterteilt und mit Benutzern und Gruppen bereitgestellt werden, die von Administratoren dieser Einheiten verwaltet werden sollen. Globale Administratoren können die Verantwortung an andere Prinzipale in ihrer Organisation delegieren, indem sie ihnen vordefinierte Rollen oder selbst erstellte benutzerdefinierte Rollen zuweisen.

  • Zugriff: Berechtigungen können auf einen Benutzer, eine Gruppe, eine Rolle, eine Anwendung oder ein Gerät angewendet werden. Die Zuweisung kann dauerhaft oder temporal pro PIM-Konfiguration (Privileged Identity Management) erfolgen.

  • Verschlüsselung: Azure AD verschlüsselt alle Daten im Ruhe- oder Übertragungszustand. Das Angebot erlaubt Kunden nicht, Verzeichnisdaten mit eigenen Verschlüsselungsschlüsseln zu verschlüsseln.

Mithilfe des Artikels „Wo wir Ihre Daten speichern“ können Sie ermitteln, wie das ausgewählte Land dem physischen Standort des Verzeichnisses zugeordnet wird.

Lesen Sie den Artikel „Azure Active Directory: Wo wir Ihre Daten speichern“, da Kunden verschiedene Azure AD-Tools, -Features und -Anwendungen verwenden, die mit ihren Verzeichnissen interagieren.

Verantwortlichkeit: Kunde

DP-4: Verschlüsseln vertraulicher Informationen während der Übertragung

Leitfaden: Als Ergänzung zu Zugriffssteuerungen sollten die Daten während der Übertragung durch Verschlüsselung vor Out-of-Band-Angriffen (z. B. Erfassung des Datenverkehrs) geschützt werden, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.

Azure AD unterstützt die Datenverschlüsselung während der Übertragung mit TLS v1.2 oder höher.

Obwohl dies bei Datenverkehr in privaten Netzwerken optional ist, ist es für den Datenverkehr in externen und öffentlichen Netzwerken von entscheidender Bedeutung. Stellen Sie bei HTTP-Datenverkehr sicher, dass alle Clients, die Verbindungen mit Ihren Azure-Ressourcen herstellen, TLS 1.2 oder höher aushandeln können. Verwenden Sie für die Remoteverwaltung SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Veraltete SSL-, TLS- und SSH-Versionen und -Protokolle sowie schwache Verschlüsselungsverfahren sollten deaktiviert werden.

Azure ermöglicht standardmäßig die Verschlüsselung von Daten während der Übertragung zwischen Azure-Rechenzentren.

Verantwortlichkeit: Kunde

DP-5: Verschlüsseln vertraulicher ruhender Daten

Leitfaden: Zur Ergänzung der Zugriffssteuerungen verschlüsselt Azure AD ruhende Daten, um mithilfe von Verschlüsselung vor Out-of-Band-Angriffen (z. B. Zugriffen auf den zugrunde liegenden Speicher) zu schützen. Dadurch wird sichergestellt, dass die Daten von Angreifern nicht einfach gelesen oder geändert werden können.

Verantwortlichkeit: Microsoft

Ressourcenverwaltung

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Ressourcenverwaltung.

AM-1: Sicherstellen, dass das Sicherheitsteam Risiken für Ressourcen einsehen kann

Anweisung: Stellen Sie sicher, dass Sicherheitsteams die Berechtigungen der Rolle „Sicherheitsleseberechtigter“ in Ihrem Azure-Mandanten und Ihren Abonnements erhalten, damit sie mithilfe von Microsoft Defender für Cloud Sicherheitsrisiken überwachen können.

Abhängig davon, wie die Verantwortungsbereiche des Sicherheitsteams strukturiert sind, kann die Überwachung auf Sicherheitsrisiken unter die Verantwortung eines zentralen Sicherheitsteams oder eines lokalen Teams fallen. Aus diesem Grund müssen Sicherheitserkenntnisse und -risiken immer innerhalb einer Organisation zentral aggregiert werden.

Die Berechtigungen der Rolle „Sicherheitsleseberechtigter“ können weit gefasst auf einen gesamten Mandanten (Stammverwaltungsgruppe) angewandt oder auf Verwaltungsgruppen oder bestimmte Abonnements beschränkt werden.

Hinweis: Möglicherweise sind zusätzliche Berechtigungen erforderlich, um Einblick in Workloads und Dienste zu erhalten.

Verantwortlichkeit: Kunde

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren der Bedrohungserkennung für Azure-Ressourcen

Leitlinie: Verwenden Sie die in Azure Active Directory (Azure AD) Identity Protection integrierte Bedrohungserkennungsfunktion für Ihre Azure AD-Ressourcen.

Azure AD erzeugt Aktivitätsprotokolle, die häufig für die Bedrohungserkennung und Bedrohungssuche verwendet werden. Azure AD-Anmeldeprotokolle enthalten Aufzeichnungen von Authentifizierungs- und Autorisierungsaktivitäten für Benutzer, Dienste und Apps. Azure AD-Überwachungsprotokolle verfolgen Änderungen, die an einem Azure AD-Mandanten vorgenommen werden, einschließlich Änderungen, die den Sicherheitsstatus verbessern oder verringern.

Verantwortlichkeit: Kunde

LT-2: Aktivieren der Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung in Azure

Leitfaden: Azure AD stellt die folgenden Benutzerprotokolle bereit, die in der Azure AD-Berichterstellung angezeigt oder für komplexere Anwendungsfälle in Bezug auf Überwachung und Analyse in Azure Monitor, Azure Sentinel oder andere SIEM- oder Überwachungstools integriert werden können:

  • Anmeldungen: Der Bericht „Anmeldungen“ enthält Informationen zur Nutzung von verwalteten Anwendungen und Aktivitäten der Benutzeranmeldung.
  • Überwachungsprotokolle: Ermöglichen die Nachverfolgung sämtlicher Änderungen, die von verschiedenen Features in Azure AD vorgenommen wurden. Hierzu zählen unter anderem Änderungen an Ressourcen in Azure AD, z. B. das Hinzufügen oder Entfernen von Benutzern, Apps, Gruppen, Rollen und Richtlinien.
  • Riskante Anmeldungen: Eine riskante Anmeldung ist ein Indikator für einen Anmeldeversuch von einem Benutzer, der nicht der rechtmäßige Besitzer eines Benutzerkontos ist.
  • Risikobenutzer: Ein Risikobenutzer ist ein Indikator für ein Benutzerkonto, das möglicherweise kompromittiert wurde.

Identity Protection-Risikoerkennungen sind standardmäßig aktiviert und erfordern keinen Onboardingvorgang. Die Granularität oder Risikodaten werden durch die Lizenz-SKU bestimmt.

Verantwortlichkeit: Kunde

LT-4: Aktivieren der Protokollierung für Azure-Ressourcen

Leitlinie: Azure Active Directory (Azure AD) erzeugt Aktivitätsprotokolle. Im Gegensatz zu einigen anderen Azure-Diensten unterscheidet Azure AD nicht zwischen Aktivitäts- und Ressourcenprotokollen. Aktivitätsprotokolle sind automatisch im Azure AD-Bereich des Azure-Portals verfügbar und können zu Azure Monitor, Azure Event Hubs, Azure Storage, SIEM-Tools und an andere Speicherorte exportiert werden.

  • Anmeldungen: Der Bericht „Anmeldungen“ enthält Informationen zur Nutzung von verwalteten Anwendungen und Aktivitäten der Benutzeranmeldung.

  • Überwachungsprotokolle: Ermöglichen die Nachverfolgung sämtlicher Änderungen, die von verschiedenen Features in Azure AD vorgenommen wurden. Hierzu zählen unter anderem Änderungen an Ressourcen in Azure AD, z. B. das Hinzufügen oder Entfernen von Benutzern, Apps, Gruppen, Rollen und Richtlinien.

Azure AD stellt auch sicherheitsbezogene Protokolle bereit, die Sie in Azure AD-Berichten anzeigen oder mit Azure Monitor, Azure Sentinel oder anderen SIEM- und Überwachungstools integrieren können, um Anwendungsfälle für eine komplexere Überwachung und Analyse zu erhalten:

  • Riskante Anmeldungen: Eine riskante Anmeldung ist ein Indikator für einen Anmeldeversuch von einem Benutzer, der nicht der rechtmäßige Besitzer eines Benutzerkontos ist.
  • Risikobenutzer: Ein Risikobenutzer ist ein Indikator für ein Benutzerkonto, das möglicherweise kompromittiert wurde.

Identity Protection-Risikoerkennungen sind standardmäßig aktiviert und erfordern keinen Onboardingvorgang. Die Granularität oder Risikodaten werden durch die Lizenz-SKU bestimmt.

Verantwortlichkeit: Kunde

LT-5: Zentralisieren der Verwaltung und Analyse von Sicherheitsprotokollen

Leitlinie: Wir empfehlen die folgenden Richtlinien, wenn Kunden ihre Sicherheitsprotokolle zentralisieren möchten, um die Bedrohungssuche und Sicherheitsstatusanalyse zu vereinfachen:

  • Zentralisieren Sie die Speicherung und Analyse von Protokollen, um eine Korrelation zu ermöglichen. Stellen Sie sicher, dass jeder Protokollquelle in Azure AD ein Datenbesitzer, eine Zugriffsanweisung, ein Speicherort, die für Datenverarbeitung und -zugriff verwendeten Tools sowie Anforderungen zur Datenaufbewahrung zugewiesen sind.

  • Stellen Sie sicher, dass die Azure-Aktivitätsprotokolle in die zentrale Protokollierung integriert werden. Erfassen von Protokollen über Azure Monitor zum Aggregieren von Sicherheitsdaten, die von Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen generiert werden. Verwenden Sie in Azure Monitor Log Analytics-Arbeitsbereiche, um Analysen abzufragen und auszuführen, und verwenden Sie Azure Storage-Konten für langfristige Speicherung und Archivierung.

  • Zusätzlich können Sie auch Daten in Azure Sentinel oder der SIEM-Lösung eines Drittanbieters aktivieren und integrieren.

Viele Unternehmen verwenden Azure Sentinel für „heiße“ Daten, die häufig verwendet werden, und Azure Storage für seltener verwendete „kalte“ Daten.

Verantwortlichkeit: Kunde

LT-6: Konfigurieren der Aufbewahrungsdauer von Protokollen im Speicher

Leitfaden: Stellen Sie sicher, dass für alle Speicherkonten oder Log Analytics-Arbeitsbereiche, die zum Speichern von Anmeldeprotokollen, Überwachungsprotokollen und Risikodatenprotokollen in Azure Active Directory verwendet werden, der Protokollaufbewahrungszeitraum gemäß den Konformitätsbestimmungen Ihrer Organisation festgelegt ist.

In Azure Monitor können Sie den Aufbewahrungszeitraum des Log Analytics-Arbeitsbereichs gemäß den Compliancevorschriften Ihres Unternehmens festlegen. Verwenden Sie für langfristige Speicherungen und Archivierungen Konten von Azure Storage, Data Lake oder des Log Analytics-Arbeitsbereichs.

Verantwortlichkeit: Kunde

LT-7: Verwenden von genehmigten Zeitsynchronisierungsquellen

Leitfaden: Die Konfiguration Ihrer eigenen Zeitsynchronisierungsquellen wird von Azure Active Directory (Azure AD) nicht unterstützt. Der Azure AD-Dienst ist von Microsoft-Zeitsynchronisierungsquellen abhängig und kann durch Kunden nicht konfiguriert werden.

Verantwortlichkeit: Microsoft

Status- und Sicherheitsrisikoverwaltung

Weitere Informationen finden Sie unter Azure-Sicherheitsvergleichstest: Status- und Sicherheitsrisikoverwaltung.

PV-1: Einrichten sicherer Konfigurationen für Azure-Dienste

Leitlinie: Lösungen für die Identitäts- und Zugriffsverwaltung von Microsoft unterstützen die IT-Mitarbeiter dabei, den Zugriff auf Anwendungen und Ressourcen lokal und in der Cloud zu schützen. Es ist wichtig, dass Organisationen bewährte Sicherheitsmethoden beachten, um sicherzustellen, dass ihre Implementierung der Identitäts- und Zugriffsverwaltung sicher und gegenüber Angriffen resilienter ist.

Auf Grundlage Ihrer Implementierungsstrategie für die Identitäts- und Zugriffsverwaltung sollte Ihre Organisation die bewährten Methoden von Microsoft beachten, um die Identitätsinfrastruktur zu schützen.

Organisationen, die mit externen Partnern zusammenarbeiten, sollten zusätzlich geeignete Governance-, Sicherheits- und Konformitätskonfigurationen bewerten und implementieren, um Sicherheitsrisiken zu reduzieren und sensible Ressourcen zu schützen.

Verantwortlichkeit: Kunde

PV-2: Aufrechterhalten sicherer Konfigurationen für Azure-Dienste

Leitlinie: Microsoft Secure Score stellt Organisationen ein Instrument zum Messen des Sicherheitsstatus bereit und gibt Empfehlungen, mit denen sich Organisationen vor Bedrohungen schützen können. Organisationen wird empfohlen, regelmäßig ihre Sicherheitsbewertung (Secure Score) auf vorgeschlagene Verbesserungsaktionen zu überprüfen, um ihren Identitätssicherheitsstatus zu verbessern.

Verantwortlichkeit: Kunde

PV-8: Regelmäßiges Durchführen einer Angriffssimulation

Leitfaden: Führen Sie nach Bedarf Penetrationstests oder Red Team-Aktivitäten für Ihre Azure-Ressourcen durch, und stellen Sie sicher, dass alle kritischen Sicherheitsergebnisse behandelt werden. Befolgen Sie die Einsatzregeln für Penetrationstests für die Microsoft Cloud, um sicherzustellen, dass die Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Nutzen Sie die Microsoft-Strategie und Durchführung von Red Team- und Livewebsite-Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, Dienste und Anwendungen.

Verantwortlichkeit: Shared

Nächste Schritte