Azure-Sicherheitsbaseline für Azure Policy
Diese Sicherheitsbaseline wendet Die Anleitungen des Microsoft Cloud Security Benchmark Version 1.0 auf Azure Policy an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den entsprechenden Anleitungen, die für Azure Policy gelten.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features, die nicht für Azure Policy gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Policy vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei Azure Policy Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure Policy mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | MGMT/Governance |
| Der Kunde kann auf HOST/OS zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | False |
| Speichert kundenbezogene Inhalte im Ruhezustand | False |
Identitätsverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Azure Policy verwendet eine verwaltete Identität für die Behebung nicht konformer Ressourcen.
Konfigurationsleitfaden: Jede Azure Policy Zuweisung kann nur einer verwalteten Identität zugeordnet werden. Der verwalteten Identität können jedoch mehreren Rollen zugewiesen werden. Die Konfiguration erfolgt in zwei Schritten: Erstellen Sie zuerst eine systemseitig zugewiesene oder benutzerseitig zugewiesene verwaltete Identität, und gewähren Sie dann die erforderlichen Rollen.
Referenz: Beheben nicht konformer Ressourcen mit Azure Policy
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure Policy nutzt die Standardverschlüsselung von Microsoft für Daten während der Übertragung.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Doppelte Verschlüsselung
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.GuestConfiguration:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Windows-Computer sollten für die Verwendung sicherer Kommunikationsprotokolle konfiguriert werden | Um die Privatsphäre der über das Internet übermittelten Informationen zu schützen, sollten Ihre Computer die neueste Version des kryptografischen Protokolls nach Branchenstandard verwenden, Transport Layer Security (TLS). TLS schützt die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure Policy nutzt die Standardverschlüsselung von Microsoft für ruhende Daten.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Doppelte Verschlüsselung
Nächste Schritte
- Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark –Übersicht.
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.