Freigeben über


Azure-Sicherheitsbaseline für Azure Resource Manager

Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Azure Resource Manager an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Azure Resource Manager definiert sind.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features, die nicht für Azure Resource Manager gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Resource Manager vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, finden Sie in der vollständigen Azure Resource Manager-Sicherheitsbaselinezuordnungsdatei.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten von Azure Resource Manager mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie MGMT/Governance
Der Kunde kann auf HOST/Betriebssystem zugreifen Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. False
Speichert ruhende Kundeninhalte False

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

Funktionen

Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Stellen Sie private Endpunkte bereit, um einen privaten Zugriffspunkt für die Verwaltung der Ressourcen unter der Stammverwaltungsgruppe (Mandant) einzurichten.

Hinweis: Ressourcenverwaltung Private Link Ressourcen können mit einem privaten Endpunkt verbunden werden, um einen sicheren, privaten Zugriff für die Verwaltung von Azure-Ressourcen zu ermöglichen.

Referenz: Erstellen eines privaten Links zum Verwalten von Azure-Ressourcen

Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Featurehinweise: Azure Resource Manager unterstützt private Konnektivität über private Azure-Endpunkte und die Ressource Ressourcenverwaltung private Links. Die Möglichkeit, den Zugriff auf öffentliche Netzwerke zu deaktivieren, ist jedoch noch nicht verfügbar.

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Privilegierter Zugriff

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Funktionen

Kunden-Lockbox

Beschreibung: Kunden lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Schutz von Daten

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Funktionen

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Datenverschlüsselung während der Übertragung für die Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Migrieren zu TLS 1.2 für Azure Resource Manager

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Funktionen

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen verwalteten Microsoft-Schlüsseln verschlüsselt. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Funktionen

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Es gibt keine aktuelle Microsoft-Anleitung für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.

Referenz: Azure Policy integrierten Definitionen für Azure Resource Manager

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Funktionen

Microsoft Defender for Service / Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Microsoft Defender für Resource Manager überwacht die Ressourcenverwaltungsvorgänge in Ihrem organization, unabhängig davon, ob sie über die Azure-Portal, Azure REST-APIs, die Azure CLI oder andere programmgesteuerte Azure-Clients ausgeführt werden. Defender für Cloud führt erweiterte Sicherheitsanalysen durch, um Bedrohungen zu erkennen und Sie auf verdächtige Aktivitäten aufmerksam zu machen.

Referenz: Übersicht über Microsoft Defender für Resource Manager

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Resources:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Funktionen

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für Azure Resource Manager. Wenn Sie Ressourcen in Azure erstellen und verwalten, werden Ihre Anforderungen über die Steuerungsebene von Azure, Azure Resource Manager, orchestriert. Mit der Ressourcenprotokollierung können Sie das Volumen und die Latenz von Anforderungen der Steuerungsebene überwachen, die an Azure gesendet werden. Mit diesen Metriken können Sie den Datenverkehr und die Latenz bei Steuerungsebenenanforderungen in allen Abonnements beobachten. Beispielsweise können Sie jetzt herausfinden, wann Ihre Anforderungen gedrosselt wurden oder fehlgeschlagen sind, indem Sie nach bestimmten Statuscodes filtern.

Referenz: Azure Resource Manager-Metriken in Azure Monitor

Sicherung und Wiederherstellung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Funktionen

Dienstnative Sicherungsfunktion

Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (wenn er nicht Azure Backup verwendet). Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Featurehinweise: Azure Resource Manager Vorlagenexport kann nicht verwendet werden, um ruhende Daten zu erfassen. Für Ressourcenkonfigurationen sollten Sie eine Infrastruktur aus Quellvorlagen erstellen und bei Bedarf eine erneute Bereitstellung von dieser „Source of Truth“ aus durchführen. Der Vorlagenexport kann beim Bootstrap dieses Prozesses helfen, ist aber nicht robust genug, um die Notfallwiederherstellung zu berücksichtigen.

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Nächste Schritte