Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Azure Red Hat OpenShift (ARO) an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für Azure Red Hat OpenShift (ARO) gelten.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure-Richtliniendefinitionen werden im Abschnitt "Einhaltung gesetzlicher Vorschriften" der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Hinweis
Features, die nicht für Azure Red Hat OpenShift (ARO) gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Red Hat OpenShift (ARO) vollständig dem Microsoft Cloud Security-Benchmark zugeordnet ist, finden Sie in der vollständigen Azure Red Hat OpenShift (ARO)-Sicherheitsbasisplanzuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten mit hohen Auswirkungen von Azure Red Hat OpenShift (ARO) zusammen, was zu erhöhten Sicherheitsaspekten führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Berechnen, Container |
| Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Richtig |
| Ruhende Kundeninhalte werden gespeichert. | Richtig |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Funktionen
Integration virtueller Netzwerke
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurenotizen: Azure Red Hat OpenShift-Cluster mit OpenShift 4 erfordern ein virtuelles Netzwerk mit zwei leeren Subnetzen für die Master- und Workerknoten. Sie können entweder ein neues virtuelles Netzwerk dafür erstellen oder ein vorhandenes virtuelles Netzwerk verwenden.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Lernprogramm: Erstellen eines Azure Red Hat OpenShift 4-Clusters
NS-2: Sichern von Clouddiensten mit Netzwerksteuerelementen
Funktionen
Azure Private Link
Beschreibung: Diensteigene IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Featurehinweise: Der Azure Private Link-Dienst kann so konfiguriert werden, dass er Zugriff auf den API-Endpunkt des ARO-Clusters und auf Load-Balancer-Dienste vom Typ K8s erhält, die im Cluster bereitgestellt werden.
Konfigurationsleitfaden: Bereitstellen privater Endpunkte für alle Azure-Ressourcen, die das Feature "Private Verknüpfung" unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Referenz: Netzwerkkomponenten
Öffentliches Netzwerkzugriff deaktivieren
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder eines Umschalters für den öffentlichen Netzwerkzugriff.
Referenz: Netzwerkrichtlinien
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden Sie ein zentrales Identitäts- und Authentifizierungssystem
Funktionen
Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Lokale Authentifizierungsmethoden für den Datenebenenzugriff
Beschreibung: Lokale Authentifizierungsmethoden, die für den Datenebenenzugriff unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Lernprogramm: Herstellen einer Verbindung mit einem Azure Red Hat OpenShift 4-Cluster
IM-3: Anwendungsidentitäten sicher und automatisch verwalten
Funktionen
Verwaltete Identitäten
Beschreibung: Datenebenenaktionen unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Dienstprinzipale
Beschreibung: Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Für Dienste, die keine verwalteten Identitäten unterstützen, verwenden Sie Azure Active Directory (Azure AD), um einen Dienstprinzipal mit eingeschränkten Berechtigungen auf Ressourcenebene zu erstellen. Konfigurieren Sie Dienstprinzipale mit Zertifikatanmeldeinformationen und greifen Sie auf Clientgeheimnisse zur Authentifizierung zurück.
IM-7: Einschränken des Zugriffs auf Ressourcen basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf datenebenen kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Dienstanmeldedaten und Geheimnisse unterstützen Integration und Speicherung in Azure Key Vault
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und geheimen Speicher. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Featurehinweise: Sie können entweder den Azure Key Vault-Anbieter für secrets Store CSI-Treiber verwenden, um geheime Schlüssel zu schützen, oder azure Red Hat OpenShift-Cluster mit Azure Arc-fähigen Kubernetes verbinden und die Azure Key Vault Secrets Provider-Erweiterung verwenden, um Geheime Schlüssel abzurufen.
Konfigurationsleitfaden: Stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Benutzer mit hohen Privilegien oder Administratorrechte trennen und einschränken.
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Lernprogramm: Herstellen einer Verbindung mit einem Azure Red Hat OpenShift 4-Cluster
PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Azure RBAC auf der Datenebene wird nicht unterstützt, aber das systemeigene Dienst-RBAC wird unterstützt.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-8: Ermitteln des Zugriffsvorgangs für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox zum Überprüfen, genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Referenz: Autorisieren von Supportanfragen für den Clusterzugriff mit Azure Lockbox
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen vertraulicher Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für vertrauliche Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung zur Überwachung der Bewegung vertraulicher Daten in den Inhalten der Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln vertraulicher Daten während der Übertragung
Funktionen
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt Verschlüsselung während der Übertragung für die Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
DP-4: Standardmäßige Verschlüsselung ruhender Daten aktivieren
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Standardmäßig wurden die Betriebssystemdatenträger der virtuellen Computer in einem Azure Red Hat OpenShift-Cluster mit automatisch generierten Schlüsseln verschlüsselt, die von Microsoft Azure verwaltet werden. Aus Sicherheitsgründen können Kunden die Betriebssystemdatenträger bei der Bereitstellung eines Azure Red Hat OpenShift-Clusters mit selbstverwalteten Schlüsseln verschlüsseln.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
DP-5: Bei Bedarf die Option eines kundenseitig verwalteten Schlüssels für die Verschlüsselung ruhender Daten verwenden.
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Featurehinweise: Kunden können ihre Kundeninhalte auf physischen Volumes und Betriebssystemdatenträgern mit CMK verschlüsseln. Der Kundeninhalt (Dienstprinzipalanmeldeinformationen für Kundenanwendungen), die in der Datenbank des Diensts gespeichert sind, kann jedoch nicht mit CMK verschlüsselt werden.
Konfigurationsleitfaden: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe des vom Kunden verwalteten Schlüssels für diese Dienste.
Hinweis: Es gibt Instanzen, die die Verschlüsselung mit CMK nicht unterstützen.
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Wenn ein Customer Managed Key (CMK) auf Arbeitsebene, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Funktionen
Azure-Richtlinienunterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Featurehinweise: Verbinden des Azure Red Hat OpenShift-Clusters mit Azure Arc-fähigen Kubernetes und Überwachen und Erzwingen von Konfigurationen mithilfe der Azure-Richtlinienerweiterung.
Konfigurationsleitfaden: Verwenden Von Azure Arc zum Konfigurieren von Azure-Richtlinien zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde. Verwenden Sie die Azure Policy-Einstellungen [deny] und [deploy if not exists], um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Referenz: Installieren der Azure-Richtlinienerweiterung für Azure Arc aktivierte Kubernetes
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Bedrohungserkennungsfunktionen
Funktionen
Microsoft Defender for Service /Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an eine eigene Datensenke schicken, z. B. ein Speicherkonto oder einen Log Analytics-Arbeitsbereich. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Aktivieren von Ressourcenprotokollen für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die einen geheimen Schlüssel aus einem Schlüsseltresor abrufen, und Azure SQL verfügt über Ressourcenprotokolle, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt der Ressourcenprotokolle variiert je nach Azure-Dienst und Ressourcentyp.
Referenz: Azure Monitor Container Insights für Azure Arc-fähige Kubernetes-Cluster
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Datensicherung
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Diensteigene Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene systemeigene Sicherungsfunktion (wenn nicht Azure Backup verwendet wird). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kunde |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Überprüfen Sie diese Sicherheitsfunktion, und ermitteln Sie, ob Ihre Organisation dieses Sicherheitsfeature konfigurieren möchte.
Referenz: Erstellen einer Azure Red Hat OpenShift 4 Cluster Application Backup
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Weitere Informationen zu Azure-Sicherheitsbaselines