Azure-Sicherheitsbaseline für Virtual Machines – Linux Virtual Machines
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Virtual Machines – Linux Virtual Machines an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Virtual Machines – Linux Virtual Machines definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features, die nicht für Virtual Machines gelten: Linux-Virtual Machines wurden ausgeschlossen. Informationen dazu, wie Virtual Machines – Linux Virtual Machines vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei Virtual Machines – Linux Virtual Machines Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten mit hohen Auswirkungen von Virtual Machines – Linux Virtual Machines zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
Dienstverhaltensattribut | Wert |
---|---|
Produktkategorie | Compute |
Der Kunde kann auf HOST/Betriebssystem zugreifen | Vollzugriff |
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
Speichert ruhende Kundeninhalte | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Virtuelle Netzwerke und virtuelle Computer in Azure
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
Wenn Sie einen virtuellen Azure-Computer (VM) erstellen, müssen Sie ein virtuelles Netzwerk erstellen oder ein vorhandenes virtuelles Netzwerk verwenden und die VM mit einem Subnetz konfigurieren. Stellen Sie sicher, dass auf alle bereitgestellten Subnetze eine Netzwerksicherheitsgruppe mit Netzwerkzugriffssteuerungen angewendet wurde, die für die vertrauenswürdigen Ports und Quellen der Anwendung spezifisch sind.
Referenz: Netzwerksicherheitsgruppen
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. | Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Dienste wie iptables oder firewalld können im Linux-Betriebssystem installiert sein und Netzwerkfilterung bereitstellen, um den öffentlichen Zugriff zu deaktivieren.
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Datenebene zu steuern.
Referenz: Melden Sie sich mit Azure AD und OpenSSH bei einem virtuellen Linux-Computer in Azure an.
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | True | Microsoft |
Featurehinweise: Bei der ersten Bereitstellung des virtuellen Computers wird standardmäßig ein lokales Administratorkonto erstellt. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweise: Die verwaltete Identität wird normalerweise von linux-VMs genutzt, um sich bei anderen Diensten zu authentifizieren. Wenn der virtuelle Linux-Computer die Azure AD-Authentifizierung unterstützt, wird möglicherweise die verwaltete Identität unterstützt.
Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweise: Dienstprinzipale können von Anwendungen verwendet werden, die auf der Linux-VM ausgeführt werden.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweise: Verwenden Sie Azure AD als Zentrale für die Authentifizierungsplattform und als Zertifizierungsstelle, um mithilfe der zertifikatbasierten Azure AD- und OpenSSH-Authentifizierung eine SSH-Verbindung mit einer Linux-VM herzustellen. Mit dieser Funktion können Organisationen den Zugriff auf VMs mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure und Richtlinien für bedingten Zugriff verwalten.
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Azure Active Directory -Zugriff (Azure AD) in der Workload. Betrachten Sie gängige Anwendungsfälle wie das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus, das Blockieren riskanter Anmeldeverhalten oder die Anforderung organization verwalteter Geräte für bestimmte Anwendungen.
Referenz: Melden Sie sich mit Azure AD und OpenSSH bei einem virtuellen Linux-Computer in Azure an.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweise: Innerhalb der Datenebene oder des Betriebssystems rufen Dienste möglicherweise Azure Key Vault für Anmeldeinformationen oder Geheimnisse auf.
Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Funktionen
Lokale Admin Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | True | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Schnellstart: Erstellen eines virtuellen Linux-Computers im Azure-Portal
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweise: Verwenden Sie Azure AD als Kernauthentifizierungsplattform und als Zertifizierungsstelle, um eine SSH-Verbindung mit einer Linux-VM mithilfe der zertifikatbasierten Authentifizierung von Azure AD und OpenSSH herzustellen. Mit dieser Funktion können Organisationen den Zugriff auf VMs mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure und Richtlinien für bedingten Zugriff verwalten.
Konfigurationsleitfaden: Geben Sie mit RBAC an, wer sich bei einer VM als regulärer Benutzer oder mit Administratorrechten anmelden kann. Wenn Benutzer Ihrem Team beitreten, können Sie die Azure RBAC-Richtlinie für die VM aktualisieren, um den Zugriff entsprechend zu erteilen. Wenn Mitarbeiter Ihre Organisation verlassen und ihre Benutzerkonten in Azure AD deaktiviert oder entfernt werden, haben sie keinen Zugriff mehr auf Ihre Ressourcen.
Referenz: Anmelden bei einem virtuellen Linux-Computer in Azure mithilfe von Azure AD und OpenSSH
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweise: Bestimmte Kommunikationsprotokolle wie SSH sind standardmäßig verschlüsselt. Andere Dienste wie HTTP müssen jedoch für die Verwendung von TLS für die Verschlüsselung konfiguriert werden.
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen eine native Datenverschlüsselungsfunktion integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Legacyversionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung von Virtual Machines SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Referenz: Verschlüsselung während der Übertragung auf virtuellen Computern
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Windows-Computer sollten für die Verwendung sicherer Kommunikationsprotokolle konfiguriert werden | Um die Privatsphäre der über das Internet übermittelten Informationen zu schützen, sollten Ihre Computer die neueste Version des kryptografischen Protokolls nach Branchenstandard verwenden, Transport Layer Security (TLS). TLS schützt die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | True | Microsoft |
Featurehinweise: Standardmäßig verwenden verwaltete Datenträger plattformseitig verwaltete Verschlüsselungsschlüssel. Alle verwalteten Datenträger, Momentaufnahmen, Images und Daten, die auf vorhandene verwaltete Datenträger geschrieben wurden, werden im Ruhezustand automatisch mit von der Plattform verwalteten Schlüsseln verschlüsselt.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Serverseitige Verschlüsselung von Azure Disk Storage – Plattformseitig verwaltete Schlüssel
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison). | AuditIfNotExists, Disabled | 2.0.3 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden auch bei der Übertragung zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Einen Vergleich der Verschlüsselungsangebote finden Sie unter https://aka.ms/diskencryptioncomparison. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0-preview |
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweise: Sie können die Verschlüsselung auf der Ebene jedes verwalteten Datenträgers mit Ihren eigenen Schlüsseln verwalten. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Vom Kunden verwaltete Schlüssel ermöglichen eine höhere Flexibilität bei der Verwaltung von Zugriffssteuerungen.
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
Virtuelle Datenträger auf Virtual Machines (VM) werden im Ruhezustand entweder mithilfe der serverseitigen Verschlüsselung oder der Azure-Datenträgerverschlüsselung (Azure Disk Encryption, ADE) verschlüsselt. Azure Disk Encryption nutzt das DM-Crypt-Feature von Linux, um verwaltete Datenträger auf dem virtuellen Gastcomputer mit kundenseitig verwalteten Schlüsseln zu verschlüsseln. Die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln bewirkt eine ADE-Verbesserung, indem Sie beliebige Betriebssystemtypen und Images für Ihre VMs verwenden können, indem Daten im Speicherdienst verschlüsselt werden.
Referenz: Serverseitige Verschlüsselung von Azure Disk Storage – Kundenseitig verwaltete Schlüssel
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine wichtige Einstellung oder Kompromittierung vorliegt. Wenn kundenseitig verwalteter Schlüssel (Customer-Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst bringen müssen (z. B. den Import HSM-geschützter Schlüssel von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
Referenz: Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Funktionen
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Azure Policy können verwendet werden, um das gewünschte Verhalten für die Windows-VMs und Linux-VMs Ihres organization zu definieren. Mithilfe von Richtlinien kann ein organization verschiedene Konventionen und Regeln im gesamten Unternehmen erzwingen und Standardsicherheitskonfigurationen für Azure Virtual Machines definieren und implementieren. Die Durchsetzung des gewünschten Verhaltens hilft dabei, Risiken zu mindern, und trägt gleichzeitig zum Erfolg des Unternehmens bei.
Referenz: Azure Policy integrierten Definitionen für Azure Virtual Machines
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs
Funktionen
Microsoft Defender für Cloud – Adaptive Anwendungssteuerung
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer ausgeführt werden, indem adaptive Anwendungssteuerelemente in Microsoft Defender für Cloud verwendet werden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für adaptive Cloud-Anwendungssteuerelemente, um Anwendungen zu ermitteln, die auf virtuellen Computern (VMs) ausgeführt werden, und generieren Sie eine Anwendungsgenehmigungsliste, um zu bestimmen, welche genehmigten Anwendungen in der VM-Umgebung ausgeführt werden können.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Defender für Server erweitert den Schutz auf Ihre Windows- und Linux-Computer, die in Azure ausgeführt werden. Defender für Server ist in Microsoft Defender for Endpoint integriert, um Endpunkterkennung und -reaktion (EDR) bereitzustellen, und bietet außerdem eine Vielzahl zusätzlicher Features zum Schutz vor Bedrohungen, z. B. Sicherheitsbaselines und Bewertungen auf Betriebssystemebene, Überprüfung der Sicherheitsrisikobewertung, adaptive Anwendungssteuerungen (Adaptive Application Controls, AAC), Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) und vieles mehr.
Referenz: Planen Der Bereitstellung von Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Azure Monitor beginnt automatisch mit der Erfassung von Metrikdaten für Ihren VM-Host, wenn Sie die VM erstellen. Um Protokolle und Leistungsdaten des Gastbetriebssystem des virtuellen Computers zu sammeln, müssen Sie jedoch den Azure Monitor-Agent installieren. Sie können den Agent installieren und die Sammlung entweder mithilfe von VM Insights oder durch Erstellen einer Datensammlungsregel konfigurieren.
Referenz: Übersicht über den Log Analytics-Agent
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Funktionen
Azure Automation State Configuration
Beschreibung: Azure Automation State Configuration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Automation State Configuration, um die Sicherheitskonfiguration des Betriebssystems zu verwalten.
Referenz: Konfigurieren eines virtuellen Computers mit Desired State Configuration
Azure Policy Gastkonfigurations-Agent
Beschreibung: Azure Policy Gastkonfigurations-Agent kann installiert oder als Erweiterung für Computeressourcen bereitgestellt werden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweise: Azure Policy Gastkonfiguration heißt jetzt Azure Automanage Machine Configuration.
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud und Azure Policy Gastkonfigurations-Agent, um Konfigurationsabweichungen auf Ihren Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben.
Referenz: Grundlegendes zum Computerkonfigurationsfeature von Azure Automanage
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von benutzerseitig bereitgestellten VM-Images oder vorgefertigten Images aus dem Marketplace, wobei bestimmte Baselinekonfigurationen bereits angewendet wurden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Lieferanten wie Microsoft, oder erstellen Sie eine gewünschte sichere Konfigurationsbaseline in die VM-Imagevorlage.
Referenz: Tutorial: Erstellen eines benutzerdefinierten Images einer Azure-VM mit der Azure CLI
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
Funktionen
Virtueller Computer mit vertrauenswürdigem Start
Beschreibung: Trusted Launch schützt vor erweiterten und persistenten Angriffstechniken, indem Infrastrukturtechnologien wie sicherer Start, vTPM und Integritätsüberwachung kombiniert werden. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen. Der vertrauenswürdige Start ermöglicht die sichere Bereitstellung virtueller Computer mit überprüften Startladeprogrammen, Betriebssystemkernkernen und Treibern und schützt Schlüssel, Zertifikate und Geheimnisse auf den virtuellen Computern sicher. Der vertrauenswürdige Start bietet auch Einblicke und Vertrauen in die Integrität der gesamten Startkette und stellt sicher, dass Workloads vertrauenswürdig und überprüfbar sind. Der vertrauenswürdige Start ist in Microsoft Defender für Cloud integriert, um sicherzustellen, dass VMs ordnungsgemäß konfiguriert sind, indem bestätigt wird, dass der virtuelle Computer fehlerfrei gestartet wurde. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweis: Vertrauenswürdiger Start ist für VMs der Generation 2 verfügbar. Der vertrauenswürdige Start erfordert die Erstellung neuer VMs. Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.
Konfigurationsleitfaden: Der vertrauenswürdige Start kann während der Bereitstellung des virtuellen Computers aktiviert werden. Aktivieren Sie alle drei - Überwachung des sicheren Starts, vTPM und Integritätsstarts, um den besten Sicherheitsstatus für den virtuellen Computer sicherzustellen. Beachten Sie, dass es einige Voraussetzungen gibt, z. B. das Onboarding Ihres Abonnements in Microsoft Defender für Cloud, das Zuweisen bestimmter Azure Policy Initiativen und das Konfigurieren von Firewallrichtlinien.
Referenz: Bereitstellen eines virtuellen Computers mit aktiviertem vertrauenswürdigem Start
PV-5: Durchführen von Sicherheitsrisikobewertungen
Funktionen
Sicherheitsrisikobewertung mithilfe von Microsoft Defender
Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für cloud- oder andere eingebettete Microsoft Defender-Dienste (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS) auf Sicherheitsrisikoüberprüfung überprüft werden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Befolgen Sie die Empfehlungen von Microsoft Defender für Cloud, um Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern durchzuführen.
Referenz: Planen der Bereitstellung von Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken
Funktionen
Azure Automation-Updateverwaltung
Beschreibung: Der Dienst kann Azure Automation Updateverwaltung verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Automation Updateverwaltung oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Linux-VMs installiert sind.
Referenz: Verwalten von Updates und Patches für Ihre VMs
Azure-Gastpatchdienst
Beschreibung: Der Dienst kann Azure-Gastpatches verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Dienste können die verschiedenen Updatemechanismen nutzen, z. B. automatische Betriebssystemimageupgrades und automatisches Gastpatching. Die Funktionen werden empfohlen, um die neuesten Sicherheits- und kritischen Updates auf das Gastbetriebssystem Ihres virtuellen Computers anzuwenden, indem Sie die Prinzipien der sicheren Bereitstellung befolgen.
Mit dem automatischen Gastpatching können Sie Ihre virtuellen Azure-Computer automatisch bewerten und aktualisieren, um die Sicherheitskonformität mit kritischen updates und Sicherheitsupdates zu gewährleisten, die jeden Monat veröffentlicht werden. Updates werden außerhalb der Spitzenzeiten angewendet, einschließlich VMs innerhalb einer Verfügbarkeitsgruppe. Diese Funktion ist für die flexible VMSS-Orchestrierung verfügbar, mit zukünftiger Unterstützung für die Roadmap für die einheitliche Orchestrierung.
Wenn Sie eine zustandslose Workload ausführen, sind automatische Betriebssystemimageupgrades ideal, um das neueste Update für Ihre VMSS-Uniform anzuwenden. Mit der Rollbackfunktion sind diese Updates mit Marketplace oder benutzerdefinierten Images kompatibel. Zukünftige parallele Upgradeunterstützung auf der Roadmap für flexible Orchestrierung.
Referenz: Automatisches VM-Gastpatching für Azure-VMs
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Systemupdates sollten auf Ihren Computern installiert sein | Hiermit werden fehlende Sicherheitssystemupdates auf Ihren Servern über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 4.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Disabled | 1.0.0-preview |
Endpunktsicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Endpunktsicherheit.
ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
Funktionen
EDR-Lösung
Beschreibung: Die EDR-Funktion (Endpoint Detection and Response), z. B. Azure Defender für Server, kann im Endpunkt bereitgestellt werden. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Azure Defender für Server (mit integriertem Microsoft Defender for Endpoint) bietet EDR-Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Bedrohungen. Verwenden Sie Microsoft Defender für Cloud, um Azure Defender für Server für Ihren Endpunkt bereitzustellen und die Warnungen in Ihre SIEM-Lösung, z. B. Azure Sentinel, zu integrieren.
Referenz: Planen der Bereitstellung von Defender für Server
ES-2: Verwenden moderner Antischadsoftware
Funktionen
Anti-Malware-Lösung
Beschreibung: Anti-Malware-Funktion wie Microsoft Defender Antivirus, Microsoft Defender for Endpoint auf dem Endpunkt bereitgestellt werden können. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Für Linux haben Kunden die Wahl, Microsoft Defender for Endpoint für Linux zu installieren. Alternativ haben Kunden auch die Wahl, Anti-Malware-Produkte von Drittanbietern zu installieren.
Referenz: Microsoft Defender for Endpoint unter Linux
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen
Funktionen
Integritätsüberwachung der Antischadsoftwarelösung
Beschreibung: Die Antischadsoftwarelösung bietet Integritäts- status Überwachung für Plattform-, Engine- und automatische Signaturupdates. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Featurehinweise: Sicherheitsintelligenz und Produktupdates gelten für Defender für Endpunkt, der auf den Linux-VMs installiert werden kann.
Konfigurationsleitfaden: Konfigurieren Sie Ihre Antischadsoftwarelösung, um sicherzustellen, dass Plattform, Engine und Signaturen schnell und konsistent aktualisiert werden und ihre status überwacht werden können.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.ClassicCompute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherung und Wiederherstellung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen.
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Customer |
Konfigurationsleitfaden: Aktivieren Sie Azure Backup und Azure Virtual Machines (VM) sowie die gewünschte Häufigkeit und Aufbewahrungszeiträume. Dies umfasst eine vollständige Sicherung des Systemzustands. Wenn Sie Azure Disk Encryption verwenden, werden bei der Azure-VM-Sicherung automatisch auch kundenseitig verwaltete Schlüssel gesichert. Für Azure Virtual Machines können Sie Azure Policy verwenden, um automatische Sicherungen zu aktivieren.
Referenz: Sicherungs- und Wiederherstellungsoptionen für virtuelle Computer in Azure
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Nächste Schritte
- Übersicht über den Microsoft-Cloudsicherheitstest
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.