Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsbaseline wendet Anleitungen aus dem Microsoft Cloud Security Benchmark Version 1.0 auf Azure Managed Applications an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für Azure Managed Applications gelten.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features , die nicht für verwaltete Azure-Anwendungen gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Managed Applications vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei für Azure Managed Applications-Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von hohen Auswirkungen von Azure Managed Applications zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | |
| Der Kunde kann auf HOST/OS zugreifen | Vollzugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | False |
| Speichert kundenbezogene Inhalte im Ruhezustand | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Verwenden eines vorhandenen virtuellen Netzwerks mit verwalteten Azure-Anwendungen
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das feature Private Link unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Zugriffs auf öffentliche Netzwerke entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder mithilfe eines Umschaltschalters für den Zugriff auf öffentliche Netzwerke.
Identitätsverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Der Herausgeber der verwalteten Anwendung kann lokale Authentifizierungsmethoden als Teil der Lösung implementieren. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Schränken Sie die Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf Datenebene ein. Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory-Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Referenz: Verwaltete Azure-Anwendung mit verwalteter Identität
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Es gibt keine aktuelle Microsoft-Anleitung für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Zugriff von Azure Active Directory (Azure AD) in der Workload. Ziehen Sie häufige Anwendungsfälle in Betracht, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten, das Blockieren riskanter Anmeldeverhalten oder die Anforderung von organization verwalteten Geräten für bestimmte Anwendungen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für den Speicher von Anmeldeinformationen und Geheimnissen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, sondern stellen zugrunde liegende Ressourcen bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Referenz: Zugriff auf Key Vault Geheimnis beim Bereitstellen von verwalteten Azure-Anwendungen
Privilegierter Zugriff
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Features
Lokale Admin-Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Verwaltete Anwendungsressourcen selbst verfügen nicht über ein Datenplan. Sie stellen zugrunde liegende Ressourcen und ihre Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Features
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Features
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie Tools wie Azure Purview, Azure Information Protection und Azure SQL Datenermittlung und -klassifizierung, um vertrauliche Daten, die sich in Azure, lokal, Microsoft 365 oder an anderen Standorten befinden, zentral zu scannen, zu klassifizieren und zu bezeichnen.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Abhängig von den Ressourcen, die in der verwalteten Ressourcengruppe enthalten sind, können DLP-Lösungen unterstützt werden. Beispielsweise kann Defender für Storage verwendet werden, um eine Speicherressource zu schützen, die in der verwalteten Ressourcengruppe enthalten ist.
Konfigurationsleitfaden: Wenn dies für die Einhaltung der Verhinderung von Datenverlust (Data Loss Prevention, DLP) erforderlich ist, können Sie eine hostbasierte DLP-Lösung von Azure Marketplace oder eine Microsoft 365 DLP-Lösung verwenden, um detektive und/oder vorbeugende Kontrollen zur Verhinderung der Datenexfiltration zu erzwingen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Der Kunde kann sein eigenes Speicherkonto als Teil des verwalteten Anwendungsstapels verwenden und dieses Speicherkonto mit einem kundenseitig verwalteten Schlüssel verschlüsseln.
Weitere Informationen zur Verwendung Ihres eigenen Speichers finden Sie unter Bring Your Own Storage für die Definition der verwalteten Anwendung.
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine wichtige Einstellung oder Kompromittierung vorliegt. Wenn kundenseitig verwalteter Schlüssel (Customer-Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst bringen müssen (z. B. den Import HSM-geschützter Schlüssel von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und den Azure-Dienst (sofern unterstützt) basierend auf einem definierten Zeitplan oder bei einem Zertifikatablauf ein. Wenn die automatische Drehung in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mithilfe manueller Methoden in Azure Key Vault und der Anwendung rotiert werden.
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [bereitstellen, wenn nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs
Features
Microsoft Defender für Cloud – Adaptive Anwendungssteuerung
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer ausgeführt werden, indem adaptive Anwendungssteuerungen in Microsoft Defender für Cloud verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, sondern stellen zugrunde liegende Ressourcen bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für adaptive Cloudanwendungssteuerelemente, um Anwendungen zu ermitteln, die auf virtuellen Computern (VMs) ausgeführt werden, und generieren Sie eine Zulassungsliste für Anwendungen, die festlegen, welche genehmigten Anwendungen in der VM-Umgebung ausgeführt werden können.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Obwohl es kein Defender-Angebot speziell für verwaltete Anwendungen gibt, können Microsoft Defender Lösungen verwendet werden, um die zugrunde liegenden Ressourcen zu schützen, die in der verwalteten Ressourcengruppe enthalten sind.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die ein Geheimnis aus einem Schlüsseltresor abrufen, oder und Azure SQL über Ressourcenprotokolle verfügt, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Features
Azure Automation State Configuration
Beschreibung: Azure Automation State Configuration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie Azure Automation State Configuration, um die Sicherheitskonfiguration des Betriebssystems zu verwalten.
Azure Policy Gastkonfigurations-Agent
Beschreibung: Azure Policy Gastkonfigurations-Agent kann installiert oder als Erweiterung für Computeressourcen bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud und Azure Policy Gastkonfigurations-Agent, um Konfigurationsabweichungen auf Ihren Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben.
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von benutzerseitig bereitgestellten VM-Images oder vorgefertigten Images aus dem Marketplace, wobei bestimmte Baselinekonfigurationen bereits angewendet wurden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Lieferanten wie Microsoft, oder erstellen Sie eine gewünschte Baseline für sichere Konfigurationen in der VM-Imagevorlage.
Images für benutzerdefinierte Container
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten Containerimages oder vordefinierte Images aus dem Marketplace mit bestimmten vorab angewendeten Baselinekonfigurationen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Apps können virtuelle Computer und andere Ressourcen bereitstellen, die das Verweisen auf ein Angebot oder eine SKU aus dem Marketplace unterstützen, wenn sie über eine ARM-Vorlage bereitgestellt werden.
Konfigurationsleitfaden: Verwenden Sie ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Lieferanten wie Microsoft, oder erstellen Sie die gewünschte Baseline für sichere Konfigurationen in die Containerimagevorlage.
PV-5: Durchführen von Sicherheitsrisikobewertungen
Features
Sicherheitsrisikobewertung mithilfe von Microsoft Defender
Beschreibung: Der Dienst kann mit Microsoft Defender für Cloud oder anderen Microsoft Defender Services eingebetteten Sicherheitsrisikobewertungsfunktionen (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS) auf Sicherheitsrisiken überprüft werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, sondern stellen zugrunde liegende Ressourcen und ihre Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist aber nicht erforderlich.
Konfigurationsleitfaden: Befolgen Sie die Empfehlungen von Microsoft Defender für Cloud, um Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern, Containerimages und SQL-Servern durchzuführen.
PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken
Features
Azure Automation-Updateverwaltung
Beschreibung: Der Dienst kann Azure Automation Updateverwaltung verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, sondern stellen zugrunde liegende Ressourcen und ihre Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist aber nicht erforderlich.
Konfigurationsleitfaden: Verwenden Sie Azure Automation Updateverwaltung oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie bei virtuellen Windows-Computern sicher, dass Windows Update aktiviert wurde und auf „Automatisch Aktualisieren“ festgelegt ist.
Endpunktsicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Endpunktsicherheit.
ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
Features
EDR-Lösung
Beschreibung: Das EDR-Feature (Endpoint Detection and Response), z. B. Azure Defender für Server, kann im Endpunkt bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, sondern stellen zugrunde liegende Ressourcen und ihre Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist aber nicht erforderlich.
Konfigurationsleitfaden: Azure Defender für Server (mit integriertem Microsoft Defender for Endpoint) bietet EDR-Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Bedrohungen. Verwenden Sie Microsoft Defender für Cloud, um Azure Defender für Server für Ihren Endpunkt bereitzustellen und die Warnungen in Ihre SIEM-Lösung, z. B. Azure Sentinel, zu integrieren.
ES-2: Verwenden moderner Antischadsoftware
Features
Anti-Malware-Lösung
Beschreibung: Anti-Malware-Funktion wie Microsoft Defender Antivirus, Microsoft Defender for Endpoint können auf dem Endpunkt bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, sondern stellen zugrunde liegende Ressourcen und ihre Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist aber nicht erforderlich.
Konfigurationsleitfaden: Für Windows Server 2016 und höher ist Microsoft Defender für Antivirus standardmäßig installiert. Ab Windows Server 2012 R2 können Kunden SCEP (System Center Endpoint Protection) installieren. Für Linux können Kunden die Wahl haben, Microsoft Defender für Linux zu installieren. Alternativ haben Kunden auch die Wahl, Anti-Malware-Produkte von Drittanbietern zu installieren.
ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen
Features
Integritätsüberwachung der Anti-Malware-Lösung
Beschreibung: Die Anti-Malware-Lösung bietet Integritätsüberwachung status für Plattform-, Engine- und automatische Signaturupdates. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist aber nicht erforderlich.
Konfigurationsleitfaden: Konfigurieren Sie Ihre Anti-Malware-Lösung, um sicherzustellen, dass Plattform, Engine und Signaturen schnell und konsistent aktualisiert werden und ihre status überwacht werden können.
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Verwaltete Anwendungsressourcen selbst basieren nicht auf einem anderen Ressourcentyp, stellen aber zugrunde liegende Ressourcen und deren Features bereit, aus denen die verwaltete App besteht. Ein Herausgeber kann Anpassungen und Konfigurationen für Apps anbieten, ist jedoch nicht erforderlich.
Konfigurationsleitfaden: Aktivieren Sie Azure Backup und konfigurieren Sie die Sicherungsquelle (z. B. Azure Virtual Machines, SQL Server, HANA-Datenbanken oder Dateifreigaben) in einer gewünschten Häufigkeit und mit einem gewünschten Aufbewahrungszeitraum. Für Azure Virtual Machines können Sie Azure Policy verwenden, um automatische Sicherungen zu aktivieren.
Nächste Schritte
- Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark –Übersicht.
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.