Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf virtuelle Computer – virtuelle Linux-Computer an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für virtuelle Computer – Linux Virtual Machines – gelten.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure-Richtliniendefinitionen werden im Abschnitt "Einhaltung gesetzlicher Vorschriften" der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Anmerkung
Features, die nicht für virtuelle Maschinen gelten – Linux-virtuelle Maschinen wurden ausgeschlossen. Informationen dazu, wie Linux-VMs vollständig dem Microsoft Cloud Security Benchmark zugeordnet sind, finden Sie in der vollständigen Zuordnungsdatei für das Sicherheits-Baseline-Mapping von Linux-VMs.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten virtueller Computer mit hohem Einfluss zusammen – virtuelle Linux-Computer, die zu erhöhten Sicherheitsaspekten führen können.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Berechnen |
| Kunde kann auf HOST/Betriebssystem zugreifen | Vollzugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Stimmt |
| Ruhende Kundeninhalte werden gespeichert. | Stimmt |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Funktionen
Integration virtueller Netzwerke
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Virtuelle Netzwerke und virtuelle Computer in Azure
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkverkehr hält sich an die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden von Netzwerksicherheitsgruppen (Network Security Groups, NSG) zum Einschränken oder Überwachen des Datenverkehrs nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. verhindern, dass auf Verwaltungsports von nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, aber datenverkehr von virtuellen Netzwerken und Azure Load Balancers zulassen.
Wenn Sie einen virtuellen Azure-Computer (VM) erstellen, müssen Sie ein virtuelles Netzwerk erstellen oder ein vorhandenes virtuelles Netzwerk verwenden und den virtuellen Computer mit einem Subnetz konfigurieren. Stellen Sie sicher, dass für alle bereitgestellten Subnetze eine Netzwerksicherheitsgruppe mit Netzwerkzugriffskontrollen angewendet wurde, die spezifisch für die vertrauenswürdigen Ports und Quellen Ihrer Anwendungen sind.
Referenz: Netzwerksicherheitsgruppen
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Alle Netzwerkports sollten für Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrem virtuellen Computer zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann angreifern ermöglichen, Ihre Ressourcen als Ziel zu verwenden. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 3.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Empfehlungen für adaptive Netzwerkhärtung sollten auf virtuellen Computern im Internet angewendet werden. | Azure Security Center analysiert die Datenverkehrsmuster von internetgebundenen virtuellen Maschinen und bietet Empfehlungen für Netzwerksicherheitsgruppenregeln, die die potenzielle Angriffsfläche reduzieren. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 3.0.0 |
NS-2: Sichern von Clouddiensten mit Netzwerksteuerelementen
Funktionen
Öffentliches Netzwerkzugriff deaktivieren
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Dienste wie iptables oder firewalld können im Linux-Betriebssystem installiert werden und bieten Netzwerkfilterung, um den öffentlichen Zugriff zu deaktivieren.
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Zentrales Identitäts- und Authentifizierungssystem verwenden
Funktionen
Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Referenz: Melden Sie sich mit Azure AD und OpenSSH bei einem virtuellen Linux-Computer in Azure an.
Lokale Authentifizierungsmethoden für den Datenebenenzugriff
Beschreibung: Lokale Authentifizierungsmethoden, die für den Datenebenenzugriff unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Featurehinweise: Ein lokales Administratorkonto wird standardmäßig während der erstbereitstellung des virtuellen Computers erstellt. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
IM-3: Sichere und automatische Verwaltung von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Datenebenenaktionen unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Verwaltete Identität wird traditionell von Linux-VM verwendet, um sich bei anderen Diensten zu authentifizieren. Wenn die Linux-VM die Azure AD-Authentifizierung unterstützt, wird möglicherweise verwaltete Identität unterstützt.
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory(Azure AD)-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden von der Plattform vollständig gemanagt, regelmäßig aktualisiert und geschützt, um hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien zu vermeiden.
Dienstprinzipale
Beschreibung: Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Dienstprinzipale können von Anwendungen verwendet werden, die auf der Linux-VM ausgeführt werden.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Überprüfen Sie diese Sicherheitsfunktion, und ermitteln Sie, ob Ihre Organisation dieses Sicherheitsfeature konfigurieren möchte.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Die Gastkonfigurationserweiterung virtueller Computer sollte mit der vom System zugewiesenen verwalteten Identität bereitgestellt werden. | Für die Erweiterung "Gastkonfiguration" ist eine vom System zugewiesene verwaltete Identität erforderlich. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht kompatibel, wenn sie die Gastkonfigurationserweiterung installiert haben, aber keine verwaltete Identität des Systems zugewiesen haben. Weitere Informationen finden Sie unter https://aka.ms/gcpol | ÜberprüfungWennNichtVorhanden, Deaktiviert | 1.0.1 |
IM-7: Beschränkung des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf datenebenen kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Verwenden Sie Azure AD als Kernauthentifizierungsplattform und eine Zertifizierungsstelle für SSH in einer Linux-VM mithilfe der zertifikatbasierten Azure AD- und OpenSSH-Authentifizierung. Diese Funktionalität ermöglicht es Organisationen, den Zugriff auf VMs mit Azure-rollenbasierter Zugriffssteuerung (RBAC) und Richtlinien für bedingten Zugriff zu verwalten.
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.
Referenz: Melden Sie sich mit Azure AD und OpenSSH bei einem virtuellen Linux-Computer in Azure an.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und geheimen Speicher. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Innerhalb der Datenebene oder des Betriebssystems können Dienste Azure Key Vault für Anmeldeinformationen oder geheime Schlüssel aufrufen.
Konfigurationsleitfaden: Stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Einschränken von Hochprivilegierten/Administratoren
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Schnellstart: Erstellen eines virtuellen Linux-Computers im Azure-Portal
PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Verwenden Sie Azure AD als Kernauthentifizierungsplattform und eine Zertifizierungsstelle für SSH in einer Linux-VM mithilfe der zertifikatbasierten Azure AD- und OpenSSH-Authentifizierung. Diese Funktionalität ermöglicht es Organisationen, den Zugriff auf VMs mit Azure-rollenbasierter Zugriffssteuerung (RBAC) und Richtlinien für bedingten Zugriff zu verwalten.
Konfigurationsleitfaden: Geben Sie mit RBAC an, wer sich als regulärer Benutzer oder mit Administratorrechten bei einem virtuellen Computer anmelden kann. Wenn Benutzer Ihrem Team beitreten, können Sie die Azure RBAC-Richtlinie für den virtuellen Computer aktualisieren, um den Zugriff entsprechend zu gewähren. Wenn Mitarbeiter Ihre Organisation verlassen und ihre Benutzerkonten deaktiviert oder aus Azure AD entfernt werden, haben sie keinen Zugriff mehr auf Ihre Ressourcen.
Referenz: Melden Sie sich mit Azure AD und OpenSSH bei einem virtuellen Linux-Computer in Azure an.
PA-8: Ermitteln des Zugriffsvorgangs für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox zum Überprüfen, genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen vertraulicher Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für vertrauliche Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt eine DLP-Lösung zur Überwachung der Bewegung vertraulicher Daten im Inhalt des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln vertraulicher Daten während der Übertragung
Funktionen
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Bestimmte Kommunikationsprotokolle wie SSH sind standardmäßig verschlüsselt. Andere Dienste wie HTTP müssen jedoch für die Verwendung von TLS für die Verschlüsselung konfiguriert werden.
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen eine eingebaute Verschlüsselungsfunktion für die Datenübertragung vorhanden ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Ältere Versionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung virtueller Computer SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Referenz: Verschlüsselung während der Übertragung in virtuellen Computern
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Windows-Computer sollten so konfiguriert werden, dass sichere Kommunikationsprotokolle verwendet werden. | Um den Datenschutz der über das Internet übermittelten Informationen zu schützen, sollten Ihre Computer die neueste Version des branchenübden kryptografischen Protokolls Transport Layer Security (TLS) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 4.1.1 |
DP-4: Standardmäßige Verschlüsselung ruhender Daten aktivieren
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Featurehinweise: Standardmäßig verwenden verwaltete Datenträger plattformverwaltete Verschlüsselungsschlüssel. Alle verwalteten Datenträger, Momentaufnahmen, Images und Daten, die auf vorhandene verwaltete Datenträger geschrieben wurden, werden im Ruhezustand automatisch mit von der Plattform verwalteten Schlüsseln verschlüsselt.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Serverseitige Verschlüsselung von Azure Disk Storage – plattformverwaltete Schlüssel
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln. | Standardmäßig werden betriebssystem- und Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt. Temporäre Datenträger, Datencaches und Datenflüsse zwischen Compute und Speicher werden nicht verschlüsselt. Ignorieren Sie diese Empfehlung, wenn: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung auf verwalteten Datenträgern erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen finden Sie unter: Serverseitige Verschlüsselung von Azure Disk Storage: https://aka.ms/disksse, verschiedene Datenträgerverschlüsselungsangebote: https://aka.ms/diskencryptioncomparison | ÜberprüfungWennNichtVorhanden, Deaktiviert | 2.0.3 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Standardmäßig werden betriebssystem- und Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt. Temporäre Datenträger und Datencaches sind nicht verschlüsselt, und Daten werden beim Fluss zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Besuchen Sie https://aka.ms/diskencryptioncomparison, um Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 1.2.0-Vorschau |
DP-5: Verwenden Sie die Kundenschlüsseloption bei der Verschlüsselung ruhender Daten, wenn erforderlich.
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Sie können die Verschlüsselung auf der Ebene jedes verwalteten Datenträgers mit Ihren eigenen Schlüsseln verwalten. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser Schlüssel verwendet, um den Zugriff auf den Schlüssel zu schützen und zu steuern, der Ihre Daten verschlüsselt. Vom Kunden verwaltete Schlüssel bieten eine größere Flexibilität beim Verwalten von Zugriffssteuerungen.
Konfigurationsleitfaden: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe des vom Kunden verwalteten Schlüssels für diese Dienste.
Virtuelle Datenträger auf virtuellen Computern (VM) werden im Ruhezustand mit serverseitiger Verschlüsselung oder Azure-Datenträgerverschlüsselung (ADE) verschlüsselt. Die Azure Disk Encryption nutzt die DM-Crypt-Funktion von Linux, um verwaltete Datenträger mit vom Kunden verwalteten Schlüsseln innerhalb der Gast-VM zu verschlüsseln. Die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln verbessert ADE, indem Sie alle Betriebssystemtypen und -images für Ihre virtuellen Computer verwenden können, indem Sie Daten im Speicherdienst verschlüsseln.
Referenz: Serverseitige Verschlüsselung von Azure Disk Storage – vom Kunden verwaltete Schlüssel
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Wenn CMK (Customer Managed Key) auf der Ebene der Auslastung, des Dienstes oder der Anwendung verwendet werden muss, befolgen Sie die bewährten Verfahren der Schlüsselverwaltung: Verwenden Sie eine Schlüsselhierarchie, um in Ihrem Schlüsseltresor einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Referenz: Erstellen und Konfigurieren eines Schlüsseltresors für azure Disk Encryption
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Funktionen
Azure-Richtlinienunterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Azure-Richtlinie kann verwendet werden, um das gewünschte Verhalten für die Windows-VMs und Linux-VMs Ihrer Organisation zu definieren. Mithilfe von Richtlinien kann eine Organisation verschiedene Konventionen und Regeln im gesamten Unternehmen erzwingen und Standardsicherheitskonfigurationen für virtuelle Azure-Computer definieren und implementieren. Die Durchsetzung des gewünschten Verhaltens kann dazu beitragen, Risiken zu minimieren und gleichzeitig zum Erfolg der Organisation beizutragen.
Referenz: Integrierte Azure-Richtliniendefinitionen für virtuelle Azure-Computer
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre virtuellen Computer, um Sicherheitsverbesserungen bereitzustellen, wie z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Bereitstellung und Governance auf Basis des Azure Resource Managers, Zugriff auf verwaltete Identitäten, Zugriff auf den Schlüsseltresor für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre virtuellen Computer, um Sicherheitsverbesserungen bereitzustellen, wie z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Bereitstellung und Governance auf Basis des Azure Resource Managers, Zugriff auf verwaltete Identitäten, Zugriff auf den Schlüsseltresor für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
AM-5: Nur genehmigte Anwendungen auf virtuellen Computern verwenden
Funktionen
Microsoft Defender für Cloud – Adaptive Anwendungssteuerelemente
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer mit adaptiven Anwendungssteuerelementen in Microsoft Defender für Cloud ausgeführt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie adaptive Anwendungssteuerelemente von Microsoft Defender for Cloud, um Anwendungen zu ermitteln, die auf virtuellen Computern (VMs) ausgeführt werden, und generieren Sie eine Anwendungs-Zulassungsliste, mit der festgelegt wird, welche genehmigten Anwendungen in der VM-Umgebung ausgeführt werden dürfen.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerelemente zum Definieren sicherer Anwendungen sollten auf Ihren Computern aktiviert sein | Aktivieren Sie Anwendungssteuerelemente, um die Liste der bekannten sicheren Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden, und benachrichtigen Sie, wenn andere Anwendungen ausgeführt werden. Dadurch können Ihre Computer vor Schadsoftware gehärtet werden. Um das Konfigurieren und Verwalten Ihrer Regeln zu vereinfachen, verwendet Security Center maschinelles Lernen, um die auf jedem Computer ausgeführten Anwendungen zu analysieren und die Liste der bekannten sicheren Anwendungen vorzuschlagen. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 3.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerelemente zum Definieren sicherer Anwendungen sollten auf Ihren Computern aktiviert sein | Aktivieren Sie Anwendungssteuerelemente, um die Liste der bekannten sicheren Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden, und benachrichtigen Sie, wenn andere Anwendungen ausgeführt werden. Dadurch können Ihre Computer vor Schadsoftware gehärtet werden. Um das Konfigurieren und Verwalten Ihrer Regeln zu vereinfachen, verwendet Security Center maschinelles Lernen, um die auf jedem Computer ausgeführten Anwendungen zu analysieren und die Liste der bekannten sicheren Anwendungen vorzuschlagen. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 3.0.0 |
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Bedrohungserkennungsfunktionen
Funktionen
Microsoft Defender for Service /Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Defender für Server erweitert den Schutz auf Ihre Windows- und Linux-Computer, die in Azure ausgeführt werden. Defender for Servers ist in Microsoft Defender für Endpunkt integriert, um Endpunkterkennung und -reaktion (EDR) bereitzustellen, und bietet außerdem eine Vielzahl zusätzlicher Bedrohungsschutzfeatures, z. B. Sicherheitsgrundwerte und Bewertungen auf Betriebssystemebene, Überprüfung der Sicherheitsrisikobewertung, Adaptive Anwendungssteuerelemente (AAC), Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) und vieles mehr.
Referenz: Planung der Bereitstellung von Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard sollte auf Ihren Computern aktiviert sein | Windows Defender Exploit Guard verwendet den Azure Policy Guest Configuration Agent. Exploit Guard verfügt über vier Komponenten, die für das Sperren von Geräten gegen eine Vielzahl von Angriffsvektoren ausgelegt sind, und blockieren Verhaltensweisen, die häufig bei Schadsoftwareangriffen verwendet werden, während Unternehmen ihre Sicherheitsrisiken und Produktivitätsanforderungen ausgleichen können (nur Windows). | ÜberprüfungWennNichtVorhanden, Deaktiviert | 2.0.0 |
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, zum Beispiel ein Speicherkonto oder einen Log Analytics-Arbeitsbereich. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Azure Monitor beginnt beim Erstellen des virtuellen Computers automatisch mit der Erfassung von Metrikdaten für Ihren virtuellen Computerhost. Um Protokolle und Leistungsdaten aus dem Gastbetriebssystem des virtuellen Computers zu sammeln, müssen Sie jedoch den Azure Monitor-Agent installieren. Sie können den Agent installieren und die Sammlung entweder mithilfe von VM-Insights oder durch Erstellen einer Datensammlungsregel konfigurieren.
Referenz: Übersicht über log Analytics-Agent
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Netzwerkdatensammlungs-Agent sollte auf virtuellen Linux-Computern installiert sein | Security Center verwendet den Microsoft-Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren virtuellen Azure-Computern, um erweiterte Netzwerkschutzfunktionen wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 1.0.2-Vorschau |
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherheitsstatus- und Schwachstellenmanagement.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Funktionen
Azure Automatisierungsstatuskonfiguration
Beschreibung: Die Azure Automation State-Konfiguration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems beizubehalten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie die Azure Automation State-Konfiguration, um die Sicherheitskonfiguration des Betriebssystems beizubehalten.
Referenz: Konfigurieren eines virtuellen Computers mit der gewünschten Zustandskonfiguration
Azure Policy-Gastkonfigurationsagent
Beschreibung: Der Gastkonfigurations-Agent für Azure-Richtlinien kann als Erweiterung für Rechenressourcen installiert oder bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Die Azure Policy Guest Configuration heißt jetzt Azure Automanage Machine Configuration.
Konfigurationsleitfaden: Verwenden Sie den Gastkonfigurations-Agent für Microsoft Defender für Cloud- und Azure-Richtlinien, um Konfigurationsabweichungen für Ihre Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben.
Referenz: Grundlegendes zur Computerkonfigurationsfunktion von Azure Automanage
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten VM-Images oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Lieferanten wie Microsoft, oder erstellen Sie eine gewünschte sichere Konfigurationsbasislinie in der Vm-Imagevorlage.
Referenz: Lernprogramm: Erstellen eines benutzerdefinierten Images einer Azure-VM mit der Azure CLI
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
Funktionen
Vertrauenswürdiger virtueller Startcomputer
Beschreibung: Trusted Launch schützt vor erweiterten und persistenten Angriffstechniken, indem Infrastrukturtechnologien wie sicherer Start, vTPM und Integritätsüberwachung kombiniert werden. Jede Technologie bietet eine weitere Schutzebene gegen komplexe Bedrohungen. Der vertrauenswürdige Start ermöglicht die sichere Bereitstellung virtueller Computer mit überprüften Startladegeräten, Betriebssystemkernen und Treibern und schützt Schlüssel, Zertifikate und geheime Schlüssel auf den virtuellen Computern sicher. Der vertrauenswürdige Start bietet außerdem Einblicke und Gewissheit über die Integrität der gesamten Boot-Kette und stellt sicher, dass Workloads vertrauenswürdig und überprüfbar sind. Der sichere Start ist in Microsoft Defender für Cloud integriert, um sicherzustellen, dass VMs ordnungsgemäß konfiguriert sind, indem bestätigt wird, dass der virtuelle Computer remote fehlerfrei hochgefahren wurde. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweis: Der vertrauenswürdige Start ist für VMs der Generation 2 verfügbar. Der vertrauenswürdige Start erfordert die Erstellung neuer virtueller Computer. Sie können den Modus für vertrauenswürdigen Start bei vorhandenen virtuellen Computern, die ursprünglich ohne ihn erstellt wurden, nicht aktivieren.
Konfigurationsleitfaden: Der vertrauenswürdige Start kann während der Bereitstellung des virtuellen Computers aktiviert werden. Aktivieren Sie alle drei : Sicheres Starten, vTPM und Integritätsstartüberwachung, um den besten Sicherheitsstatus für den virtuellen Computer sicherzustellen. Beachten Sie, dass es einige Voraussetzungen gibt, darunter das Onboarding Ihres Abonnements in Microsoft Defender für Cloud, das Zuweisen bestimmter Azure-Richtlinieninitiativen und das Konfigurieren von Firewallrichtlinien.
Referenz: Bereitstellen eines virtuellen Computers mit aktiviertem vertrauenswürdigem Start
PV-5: Durchführen von Sicherheitsrisikobewertungen
Funktionen
Sicherheitsrisikobewertung mit Microsoft Defender
Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für Cloud oder anderen eingebetteten Microsoft Defender-Diensten auf Sicherheitsrisikoüberprüfung überprüft werden (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Befolgen Sie Empfehlungen von Microsoft Defender für Cloud zum Durchführen von Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern.
Referenz: Planung der Bereitstellung von Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden. | Überprüft virtuelle Computer, um zu erkennen, ob sie eine unterstützte Lösung zur Sicherheitsrisikobewertung ausführen. Eine Kernkomponente jedes Cyber-Risiko- und Sicherheitsprogramms ist die Identifizierung und Analyse von Schwachstellen. Das Standardpreisniveau von Azure Security Center umfasst sicherheitsrelevante Überprüfungen auf Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Security Center dieses Tool automatisch für Sie bereitstellen. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 3.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden. | Überprüft virtuelle Computer, um zu erkennen, ob sie eine unterstützte Lösung zur Sicherheitsrisikobewertung ausführen. Eine Kernkomponente jedes Cyber-Risiko- und Sicherheitsprogramms ist die Identifizierung und Analyse von Schwachstellen. Das Standardpreisniveau von Azure Security Center umfasst sicherheitsrelevante Überprüfungen auf Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Security Center dieses Tool automatisch für Sie bereitstellen. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 3.0.0 |
PV-6: Schnelle und automatische Behebung von Sicherheitsrisiken
Funktionen
Azure Update Manager
Beschreibung: Der Dienst kann Azure Update Manager verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Update Manager, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Linux-VMs installiert sind.
Referenz: Verwalten von Updates und Patches für Ihre virtuellen Computer
Azure-Gastpatchingdienst
Beschreibung: Der Dienst kann Azure-Gastpatching verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Dienste können die verschiedenen Updatemechanismen wie Automatische Betriebssystemimageupgrades und automatisches Gastpatching nutzen. Es wird empfohlen, die neuesten Sicherheits- und kritischen Updates auf das Gastbetriebssystem Ihrer virtuellen Maschine anzuwenden, indem Sie die Grundsätze der sicheren Bereitstellung befolgen.
Mit Auto Guest Patching können Sie Ihre virtuellen Azure-Maschinen automatisch bewerten und aktualisieren, um die Sicherheitskonformität mit den monatlich veröffentlichten kritischen und Sicherheitsupdates zu gewährleisten. Updates werden außerhalb der Hauptgeschäftszeiten durchgeführt, einschließlich VMs innerhalb eines Verfügbarkeits-Sets. Diese Funktion steht für VMSS Flexible Orchestration zur Verfügung, und die Unterstützung für Uniform Orchestration ist in der Zukunftsplanung enthalten.
Wenn Sie eine zustandslose Workload ausführen, sind automatische Betriebssystem-Image-Upgrades ideal geeignet, um das neueste Update für Ihre VMSS Uniform anzuwenden. Mit rollback-Funktion sind diese Updates mit Marketplace- oder benutzerdefinierten Images kompatibel. Zukünftige rollierende Upgrade-Unterstützung auf der Roadmap für Flexible Orchestration.
Referenz: Automatisches VM-Gastpatching für Azure-VMs
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Systemupdates sollten auf Ihren Computern installiert werden | Fehlende Sicherheitsupdates auf Ihren Servern werden vom Azure Security Center als Empfehlungen überwacht. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 4.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Systemupdates sollten auf Ihren Computern installiert werden (unterstützt von Update Center) | Ihre Computer fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig kritische Patches für Sicherheitslöcher. Solche Löcher werden häufig in Schadsoftwareangriffen ausgenutzt, sodass es wichtig ist, Ihre Software auf dem neuesten Stand zu halten. Um alle ausstehenden Patches zu installieren und Ihre Computer zu sichern, führen Sie die Korrekturschritte aus. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 1.0.0-Vorschau |
Endpunktsicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security-Benchmark: Endpunktsicherheit.
ES-1: Verwenden der Endpunkterkennung und -reaktion (EDR)
Funktionen
EDR-Lösung
Beschreibung: Endpoint Detection and Response (EDR)-Feature wie Azure Defender für Server kann auf dem Endpunkt bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Azure Defender für Server (mit microsoft Defender für Endpunkt integriert) bietet EDR-Funktionen, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Verwenden Sie Microsoft Defender für Cloud, um Azure Defender für Server für Ihren Endpunkt bereitzustellen und die Warnungen in Ihre SIEM-Lösung wie Azure Sentinel zu integrieren.
Referenz: Planung der Bereitstellung von Defender für Server
ES-2: Verwenden moderner Antischadsoftware
Funktionen
Antischadsoftware-Lösung
Beschreibung: Antischadsoftware-Funktionen wie Microsoft Defender Antivirus und Microsoft Defender für Endpunkt können auf dem Endpunkt bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Für Linux können Kunden die Wahl haben, Microsoft Defender für Endpunkt für Linux zu installieren. Alternativ können Kunden auch Antischadsoftwareprodukte von Drittanbietern installieren.
Referenz: Microsoft Defender für Endpunkt unter Linux
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Probleme mit dem Endpunktschutz sollten auf Ihren Computern behoben werden | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 1.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Probleme mit dem Endpunktschutz sollten auf Ihren Computern behoben werden | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 1.0.0 |
ES-3: Sicherstellen, dass Antischadsoftware und Signaturen aktualisiert werden
Funktionen
Überwachung des Zustands der Anti-Malware-Lösung
Beschreibung: Die Antischadsoftwarelösung bietet Integritätsstatusüberwachung für Plattform-, Modul- und automatische Signaturupdates. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Sicherheitsintelligenz und Produktupdates gelten für Defender für Endpunkt, die auf den Linux-VMs installiert werden können.
Konfigurationsleitfaden: Konfigurieren Sie Ihre Antischadsoftwarelösung, um sicherzustellen, dass die Plattform, das Modul und die Signaturen schnell und konsistent aktualisiert werden und ihr Status überwacht werden kann.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Probleme mit dem Endpunktschutz sollten auf Ihren Computern behoben werden | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 1.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Probleme mit dem Endpunktschutz sollten auf Ihren Computern behoben werden | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 1.0.0 |
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Datensicherung
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Aktivieren Sie Azure Backup und zielen Sie auf virtuelle Azure-Computer (VM) sowie die gewünschte Häufigkeit und den Aufbewahrungszeitraum ab. Dazu gehört die vollständige Systemstatussicherung. Wenn Sie die Azure-Datenträgerverschlüsselung verwenden, verarbeitet die Azure-VM-Sicherung automatisch die Sicherung von vom Kunden verwalteten Schlüsseln. Für virtuelle Azure-Computer können Sie Azure-Richtlinie verwenden, um automatische Sicherungen zu aktivieren.
Referenz: Sicherungs- und Wiederherstellungsoptionen für virtuelle Computer in Azure
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Azure Backup sollte für virtuelle Computer aktiviert sein | Stellen Sie den Schutz Ihrer virtuellen Azure-Computer sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Datenschutzlösung für Azure. | ÜberprüfungWennNichtVorhanden, Deaktiviert | 3.0.0 |
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Weitere Informationen zu Azure-Sicherheitsbaselines