Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf virtuelle Computer – Windows Virtual Machines– an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für virtuelle Computer – Windows Virtual Machines – gelten.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure-Richtliniendefinitionen werden im Abschnitt "Einhaltung gesetzlicher Vorschriften" der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Anmerkung
Features, die nicht für virtuelle Maschinen gelten – Windows Virtuelle Maschinen wurden ausgeschlossen. Informationen dazu, wie virtuelle Computer – Virtuelle Windows-Computer vollständig dem Microsoft Cloud Security Benchmark zugeordnet sind, finden Sie in der vollständigen Zuordnungsdatei für virtuelle Computer – Windows Virtual Machines– Sicherheitsbasisplandatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst die Verhaltensweisen mit hohen Auswirkungen von virtuellen Maschinen – insbesondere Windows-VMs – zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Berechnen |
| Kunde kann auf HOST/Betriebssystem zugreifen | Vollzugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Stimmt |
| Ruhende Kundeninhalte werden gespeichert. | Stimmt |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Funktionen
Integration virtueller Netzwerke
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Virtuelle Netzwerke und virtuelle Computer in Azure
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkdatenverkehr des Dienstes berücksichtigt die Regeln der Netzwerksicherheitsgruppen auf seinen Subnetzen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden von Netzwerksicherheitsgruppen (Network Security Groups, NSG) zum Einschränken oder Überwachen des Datenverkehrs nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. verhindern, dass auf Verwaltungsports von nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, aber datenverkehr von virtuellen Netzwerken und Azure Load Balancers zulassen.
Wenn Sie einen virtuellen Azure-Computer (VM) erstellen, müssen Sie ein virtuelles Netzwerk erstellen oder ein vorhandenes virtuelles Netzwerk verwenden und den virtuellen Computer mit einem Subnetz konfigurieren. Stellen Sie sicher, dass alle bereitgestellten Subnetze eine Netzwerksicherheitsgruppe haben, die mit spezifischen Netzwerkzugriffssteuerungen versehen ist, die Ihren Anwendungen und deren vertrauenswürdigen Ports und Quellen entsprechen.
Referenz: Netzwerksicherheitsgruppen
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Alle Netzwerkports sollten für Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrem virtuellen Computer zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann angreifern ermöglichen, Ihre Ressourcen als Ziel zu verwenden. | AuditIfNotExists, Deaktiviert | 3.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Empfehlungen für adaptive Netzwerkhärtung sollten auf virtuellen Computern im Internet angewendet werden. | Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Maschinen mit Internetzugang und bietet Empfehlungen für Netzwerksicherheitsgruppenregeln, die die potenzielle Angriffsfläche reduzieren. | AuditIfNotExists, Deaktiviert | 3.0.0 |
NS-2: Sichern von Clouddiensten mit Netzwerksteuerelementen
Funktionen
Öffentliches Netzwerkzugriff deaktivieren
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Dienste auf Betriebssystemebene, z. B. Windows Defender Firewall, um Netzwerkfilterung bereitzustellen, um den öffentlichen Zugriff zu deaktivieren.
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden des zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Lokale Authentifizierungsmethoden für den Datenebenenzugriff
Beschreibung: Lokale Authentifizierungsmethoden, die für den Datenebenenzugriff unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Featurehinweise: Ein lokales Administratorkonto wird standardmäßig während der erstbereitstellung des virtuellen Computers erstellt. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
IM-3: Verwaltung von Anwendungsidentitäten sicher und automatisch
Funktionen
Verwaltete Identitäten
Beschreibung: Datenebenenaktionen unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Verwaltete Identität wird in der Regel von Windows-VM verwendet, um sich bei anderen Diensten zu authentifizieren. Wenn die Windows-VM die Azure AD-Authentifizierung unterstützt, wird möglicherweise die verwaltete Identität unterstützt.
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory(Azure AD)-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden vollständig verwaltet, regelmäßig ausgewechselt und durch die Plattform geschützt, wodurch harte codierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien vermieden werden.
Dienstprinzipale
Beschreibung: Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Dienstprinzipale können von Anwendungen verwendet werden, die auf der Windows-VM ausgeführt werden.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Überprüfen Sie diese Sicherheitsfunktion, und ermitteln Sie, ob Ihre Organisation dieses Sicherheitsfeature konfigurieren möchte.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Die Gastkonfigurationserweiterung virtueller Computer sollte mit der vom System zugewiesenen verwalteten Identität bereitgestellt werden. | Für die Erweiterung "Gastkonfiguration" ist eine vom System zugewiesene verwaltete Identität erforderlich. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht kompatibel, wenn sie die Gastkonfigurationserweiterung installiert haben, aber keine verwaltete Identität des Systems zugewiesen haben. Weitere Informationen finden Sie unter https://aka.ms/gcpol | AuditIfNotExists, Deaktiviert | 1.0.1 |
IM-7: Einschränken des Zugriffs auf Ressourcen basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf datenebenen kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Funktionshinweise: Verwenden Sie Azure AD als Kernauthentifizierungsplattform für die RDP-Verbindung zu Windows Server 2019 Datacenter-Edition und höher oder Windows 10 1809 und höher. Sie können dann azure role-based access control (RBAC) und Richtlinien für bedingten Zugriff zentral steuern und erzwingen, die den Zugriff auf die virtuellen Computer zulassen oder verweigern.
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Dienstanmeldeinformationen und Geheimnisse unterstützen die Integration und Speicherung in Azure Key Vault.
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und geheimen Speicher. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Innerhalb der Datenebene oder des Betriebssystems können Dienste Azure Key Vault für Anmeldeinformationen oder geheime Schlüssel aufrufen.
Konfigurationsleitfaden: Stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Einschränken von Benutzern mit hohen privilegierten/Administratorrechten
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Schnellstart: Erstellen eines virtuellen Windows-Computers im Azure-Portal
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Funktionshinweise: Verwenden Sie Azure AD als Kernauthentifizierungsplattform für die RDP-Verbindung zu Windows Server 2019 Datacenter-Edition und höher oder Windows 10 1809 und höher. Sie können dann azure role-based access control (RBAC) und Richtlinien für bedingten Zugriff zentral steuern und erzwingen, die den Zugriff auf die virtuellen Computer zulassen oder verweigern.
Konfigurationsleitfaden: Geben Sie mit RBAC an, wer sich als regulärer Benutzer oder mit Administratorrechten bei einem virtuellen Computer anmelden kann. Wenn Benutzer Ihrem Team beitreten, können Sie die Azure RBAC-Richtlinie für den virtuellen Computer aktualisieren, um den Zugriff entsprechend zu gewähren. Wenn Mitarbeiter Ihre Organisation verlassen und ihre Benutzerkonten deaktiviert oder aus Azure AD entfernt werden, haben sie keinen Zugriff mehr auf Ihre Ressourcen.
PA-8: Ermitteln des Zugriffsvorgangs für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox zum Überprüfen, genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen vertraulicher Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für vertrauliche Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung zur Überwachung der Bewegung sensibler Daten (im Inhalt des Kunden). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln vertraulicher Daten während der Übertragung
Funktionen
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenübertragungsebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Bestimmte Kommunikationsprotokolle wie SSH sind standardmäßig verschlüsselt. Andere Dienste wie HTTP müssen jedoch für die Verwendung von TLS für die Verschlüsselung konfiguriert werden.
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, in denen eine native Datenverschlüsselungsfunktion während der Übertragung integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Ältere Versionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung virtueller Computer SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Referenz: Verschlüsselung während der Übertragung in virtuellen Computern
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Windows-Computer sollten so konfiguriert werden, dass sichere Kommunikationsprotokolle verwendet werden. | Um den Datenschutz der über das Internet übermittelten Informationen zu schützen, sollten Ihre Computer die neueste Version des branchenübden kryptografischen Protokolls Transport Layer Security (TLS) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Deaktiviert | 4.1.1 |
DP-4: Standardmäßige Verschlüsselung ruhender Daten aktivieren
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Featurehinweise: Standardmäßig verwenden verwaltete Datenträger plattformverwaltete Verschlüsselungsschlüssel. Alle verwalteten Datenträger, Momentaufnahmen, Images und Daten, die auf vorhandene verwaltete Datenträger geschrieben wurden, werden im Ruhezustand automatisch mit von der Plattform verwalteten Schlüsseln verschlüsselt.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Serverseitige Verschlüsselung von Azure Disk Storage – plattformverwaltete Schlüssel
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln. | Standardmäßig werden betriebssystem- und Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt. Temporäre Datenträger, Datencaches und Datenflüsse zwischen Compute und Speicher werden nicht verschlüsselt. Ignorieren Sie diese Empfehlung, wenn: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung auf verwalteten Datenträgern erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen finden Sie unter: Serverseitige Verschlüsselung von Azure Disk Storage: https://aka.ms/disksse, verschiedene Datenträgerverschlüsselungsangebote: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Deaktiviert | 2.0.3 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Standardmäßig werden betriebssystem- und Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt. Temporäre Datenträger und Datencaches sind nicht verschlüsselt, und Daten werden beim Fluss zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Besuchen Sie https://aka.ms/diskencryptioncomparison, um Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.2.0-Vorschau |
DP-5: Verwenden Sie die vom Kunden verwaltete Schlüsseloption bei der Verschlüsselung ruhender Daten, wenn erforderlich.
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Sie können die Verschlüsselung auf der Ebene jedes verwalteten Datenträgers mit Ihren eigenen Schlüsseln verwalten. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser Schlüssel verwendet, um den Zugriff auf den Schlüssel zu schützen und zu steuern, der Ihre Daten verschlüsselt. Vom Kunden verwaltete Schlüssel bieten eine größere Flexibilität beim Verwalten von Zugriffssteuerungen.
Konfigurationsleitfaden: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe des vom Kunden verwalteten Schlüssels für diese Dienste.
Virtuelle Datenträger auf virtuellen Maschinen (VM) werden im Ruhezustand entweder durch Server-seitige Verschlüsselung oder Azure-Datenträgerverschlüsselung (Azure Disk Encryption, ADE) verschlüsselt. Die Azure Disk Encryption nutzt das BitLocker-Feature von Windows, um verwaltete Datenträger mit vom Kunden verwalteten Schlüsseln innerhalb der Gast-VM zu verschlüsseln. Die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln verbessert ADE, indem Sie alle Betriebssystemtypen und -images für Ihre virtuellen Computer verwenden können, indem Sie Daten im Speicherdienst verschlüsseln.
Referenz: Serverseitige Verschlüsselung von Azure Disk Storage
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Wenn CMK (Customer Managed Key) auf der Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Funktionen
Azure-Richtlinienunterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Azure-Richtlinie kann verwendet werden, um das gewünschte Verhalten für die Windows-VMs und Linux-VMs Ihrer Organisation zu definieren. Mithilfe von Richtlinien kann eine Organisation verschiedene Konventionen und Regeln im gesamten Unternehmen erzwingen und Standardsicherheitskonfigurationen für virtuelle Azure-Computer definieren und implementieren. Die Durchsetzung des gewünschten Verhaltens kann dazu beitragen, Risiken zu minimieren und gleichzeitig zum Erfolg der Organisation beizutragen.
Referenz: Integrierte Azure-Richtliniendefinitionen für virtuelle Azure-Computer
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre virtuellen Maschinen, um Sicherheitsverbesserungen bereitzustellen, wie z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, eine auf dem Azure Resource Manager basierende Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf den Schlüsseltresor für Geheimnisse, Azure AD-basierte Authentifizierung sowie Unterstützung für Tags und Ressourcengruppen für eine einfachere Verwaltung der Sicherheit. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre virtuellen Maschinen, um Sicherheitsverbesserungen bereitzustellen, wie z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, eine auf dem Azure Resource Manager basierende Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf den Schlüsseltresor für Geheimnisse, Azure AD-basierte Authentifizierung sowie Unterstützung für Tags und Ressourcengruppen für eine einfachere Verwaltung der Sicherheit. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
AM-5: Nur genehmigte Anwendungen auf virtuellen Computern verwenden
Funktionen
Microsoft Defender für Cloud – Adaptive Anwendungssteuerelemente
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer mit adaptiven Anwendungssteuerelementen in Microsoft Defender für Cloud ausgeführt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie adaptive Microsoft Defender für Cloud-Anwendungssteuerungen, um Anwendungen zu ermitteln, die auf virtuellen Maschinen (VMs) ausgeführt werden, und erstellen Sie eine Anwendungsliste zulässiger Anwendungen, um festzulegen, welche genehmigten Anwendungen in der VM-Umgebung ausgeführt werden dürfen.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerelemente zum Definieren sicherer Anwendungen sollten auf Ihren Computern aktiviert sein | Aktivieren Sie Anwendungssteuerelemente, um die Liste der bekannten sicheren Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden, und benachrichtigen Sie, wenn andere Anwendungen ausgeführt werden. Dadurch können Ihre Computer vor Schadsoftware gehärtet werden. Um das Konfigurieren und Verwalten Ihrer Regeln zu vereinfachen, verwendet Security Center maschinelles Lernen, um die auf jedem Computer ausgeführten Anwendungen zu analysieren und die Liste der bekannten sicheren Anwendungen vorzuschlagen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerelemente zum Definieren sicherer Anwendungen sollten auf Ihren Computern aktiviert sein | Aktivieren Sie Anwendungssteuerelemente, um die Liste der bekannten sicheren Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden, und benachrichtigen Sie, wenn andere Anwendungen ausgeführt werden. Dadurch können Ihre Computer vor Schadsoftware gehärtet werden. Um das Konfigurieren und Verwalten Ihrer Regeln zu vereinfachen, verwendet Security Center maschinelles Lernen, um die auf jedem Computer ausgeführten Anwendungen zu analysieren und die Liste der bekannten sicheren Anwendungen vorzuschlagen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Bedrohungserkennungsfunktionen
Funktionen
Microsoft Defender for Service /Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Defender für Server erweitert den Schutz auf Ihre Windows- und Linux-Computer, die in Azure ausgeführt werden. Defender for Servers ist in Microsoft Defender für Endpunkt integriert, um Endpunkterkennung und -reaktion (EDR) bereitzustellen, und bietet außerdem eine Vielzahl zusätzlicher Bedrohungsschutzfeatures, z. B. Sicherheitsgrundwerte und Bewertungen auf Betriebssystemebene, Überprüfung der Sicherheitsrisikobewertung, Adaptive Anwendungssteuerelemente (AAC), Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) und vieles mehr.
Referenz: Planen der Bereitstellung von Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard sollte auf Ihren Computern aktiviert sein | Windows Defender Exploit Guard verwendet den Azure Policy Guest Configuration Agent. Exploit Guard verfügt über vier Komponenten, die für das Sperren von Geräten gegen eine Vielzahl von Angriffsvektoren ausgelegt sind, und blockieren Verhaltensweisen, die häufig bei Schadsoftwareangriffen verwendet werden, während Unternehmen ihre Sicherheitsrisiken und Produktivitätsanforderungen ausgleichen können (nur Windows). | AuditIfNotExists, Deaktiviert | 2.0.0 |
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, z. B. an ein Speicherkonto oder an einen Log Analytics-Arbeitsbereich. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Azure Monitor beginnt beim Erstellen des virtuellen Computers automatisch mit der Erfassung von Metrikdaten für Ihren virtuellen Computerhost. Um Protokolle und Leistungsdaten aus dem Gastbetriebssystem des virtuellen Computers zu sammeln, müssen Sie jedoch den Azure Monitor-Agent installieren. Sie können den Agent installieren und die Sammlung entweder mithilfe von VM-Insights oder durch Erstellen einer Datensammlungsregel konfigurieren.
Referenz: Übersicht über log Analytics-Agent
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Netzwerkdatensammlungs-Agent sollte auf virtuellen Linux-Computern installiert sein | Security Center verwendet den Microsoft-Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren virtuellen Azure-Computern, um erweiterte Netzwerkschutzfunktionen wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. | AuditIfNotExists, Deaktiviert | 1.0.2-Vorschau |
Haltungs- und Verwundbarkeitsmanagement
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Stabilitäts- und Schwachstellenmanagement.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Funktionen
Azure Automation – Zustandskonfiguration
Beschreibung: Die Azure Automation State-Konfiguration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems beizubehalten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie die Azure Automation State-Konfiguration, um die Sicherheitskonfiguration des Betriebssystems beizubehalten.
Referenz: Konfigurieren eines virtuellen Computers mit der gewünschten Zustandskonfiguration
Azure Policy Gastkonfigurationsagent
Beschreibung: Der Gastkonfigurations-Agent für Azure-Richtlinien kann als Erweiterung für Rechenressourcen installiert oder bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Azure Policy Guest Configuration heißt jetzt Azure Automanage Machine Configuration.
Konfigurationsleitfaden: Verwenden Sie den Gastkonfigurations-Agent für Microsoft Defender für Cloud- und Azure-Richtlinien, um Konfigurationsabweichungen für Ihre Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben.
Referenz: Grundlegendes zur Computerkonfigurationsfunktion von Azure Automanage
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten VM-Images oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden eines vorkonfigurierten gehärteten Images von einem vertrauenswürdigen Lieferanten wie Microsoft oder Erstellen eines gewünschten Basisplans für sichere Konfigurationen in der Vm-Imagevorlage
Referenz: Lernprogramm: Erstellen von Windows-VM-Images mit Azure PowerShell
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
Funktionen
Vertrauenswürdiger virtueller Startcomputer
Beschreibung: Trusted Launch schützt vor erweiterten und persistenten Angriffstechniken, indem Infrastrukturtechnologien wie sicherer Start, vTPM und Integritätsüberwachung kombiniert werden. Jede Technologie bietet eine weitere Schutzebene gegen komplexe Bedrohungen. Der vertrauenswürdige Start ermöglicht die sichere Bereitstellung virtueller Computer mit überprüften Startladegeräten, Betriebssystemkernen und Treibern und schützt Schlüssel, Zertifikate und geheime Schlüssel auf den virtuellen Computern sicher. Der vertrauenswürdige Start bietet außerdem Einblicke und Gewissheit über die Integrität der gesamten Boot-Kette und stellt sicher, dass Workloads vertrauenswürdig und überprüfbar sind. Der sichere Start ist in Microsoft Defender für Cloud integriert, um sicherzustellen, dass die VMs ordnungsgemäß konfiguriert werden, indem man remote attestiert, dass der virtuelle Computer gesund gestartet wird. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweis: Der vertrauenswürdige Start ist für VMs der Generation 2 verfügbar. Der vertrauenswürdige Start erfordert die Erstellung neuer virtueller Computer. Sie können den vertrauenswürdigen Start auf vorhandenen virtuellen Computern, die ursprünglich ohne ihn erstellt wurden, nicht aktivieren.
Konfigurationsleitfaden: Der vertrauenswürdige Start kann während der Bereitstellung des virtuellen Computers aktiviert werden. Aktivieren Sie alle drei : Sicheres Starten, vTPM und Integritätsstartüberwachung, um den besten Sicherheitsstatus für den virtuellen Computer sicherzustellen. Beachten Sie, dass es einige Voraussetzungen gibt, darunter das Onboarding Ihres Abonnements in Microsoft Defender für Cloud, das Zuweisen bestimmter Azure-Richtlinieninitiativen und das Konfigurieren von Firewallrichtlinien.
Referenz: Bereitstellen eines virtuellen Computers mit aktiviertem vertrauenswürdigem Start
PV-5: Durchführen von Sicherheitsrisikobewertungen
Funktionen
Sicherheitsrisikobewertung mit Microsoft Defender
Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für Cloud oder anderen eingebetteten Microsoft Defender-Diensten auf Sicherheitsrisikoüberprüfung überprüft werden (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Befolgen Sie Empfehlungen von Microsoft Defender für Cloud zum Durchführen von Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern.
Referenz: Planen der Bereitstellung von Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden. | Überprüft virtuelle Computer, um zu erkennen, ob sie eine unterstützte Lösung zur Sicherheitsrisikobewertung ausführen. Eine Kernkomponente jedes Cyber-Risiko- und Sicherheitsprogramms ist die Identifizierung und Analyse von Schwachstellen. Das Standardpreisniveau von Azure Security Center umfasst sicherheitsrelevante Überprüfungen auf Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden. | Überprüft virtuelle Computer, um zu erkennen, ob sie eine unterstützte Lösung zur Sicherheitsrisikobewertung ausführen. Eine Kernkomponente jedes Cyber-Risiko- und Sicherheitsprogramms ist die Identifizierung und Analyse von Schwachstellen. Das Standardpreisniveau von Azure Security Center umfasst sicherheitsrelevante Überprüfungen auf Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
PV-6: Schnelle und automatische Behebung von Sicherheitsrisiken
Funktionen
Azure Update Manager
Beschreibung: Der Dienst kann Azure Update Manager verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Update Manager, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows-VMs installiert sind. Stellen Sie für Windows-VMs sicher, dass Windows Update aktiviert und automatisch aktualisiert wird.
Referenz: Verwalten von Updates und Patches für Ihre virtuellen Computer
Azure-Gastpatchingdienst
Beschreibung: Der Dienst kann Azure-Gastpatching verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Dienste können die verschiedenen Updatemechanismen wie Automatische Betriebssystemimageupgrades und automatisches Gastpatching nutzen. Es wird empfohlen, die Funktionen zu nutzen, um die neuesten Sicherheits- und kritischen Updates auf das Gastbetriebssystem Ihrer virtuellen Maschine anzuwenden, indem Sie die Prinzipien der sicheren Bereitstellung befolgen.
Auto Guest Patching ermöglicht es Ihnen, Ihre virtuellen Azure-Computer automatisch zu prüfen und zu aktualisieren, um die Sicherheitskonformität mit kritischen und Sicherheitsupdates aufrechtzuerhalten, die jeden Monat veröffentlicht werden. Updates werden außerhalb der Hauptgeschäftszeiten durchgeführt, einschließlich VMs innerhalb eines Verfügbarkeits-Sets. Diese Funktion steht für VM-Skalierungsgruppen mit flexibler Orchestrierung zur Verfügung, mit zukünftiger Unterstützung für einheitliche Orchestration auf der Roadmap.
Wenn Sie eine zustandslose Workload ausführen, sind automatische Betriebssystem-Image-Upgrades ideal, um das neueste Update für Ihre einheitliche VM-Skalierungsgruppe anzuwenden. Mit rollback-Funktion sind diese Updates mit Marketplace- oder benutzerdefinierten Images kompatibel. Zukünftige rollierende Upgrade-Unterstützung auf der Roadmap für Flexible Orchestration.
Referenz: Automatisches VM-Gastpatching für Azure-VMs
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Systemupdates sollten auf Ihren Computern installiert werden | Fehlende Sicherheitsupdates auf Ihren Servern werden vom Azure Security Center als Empfehlungen überwacht. | AuditIfNotExists, Deaktiviert | 4.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Systemupdates sollten auf Ihren Computern installiert werden (unterstützt von Update Center) | Ihre Computer fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig kritische Patches für Sicherheitslöcher. Solche Löcher werden häufig in Schadsoftwareangriffen ausgenutzt, sodass es wichtig ist, Ihre Software auf dem neuesten Stand zu halten. Um alle ausstehenden Patches zu installieren und Ihre Computer zu sichern, führen Sie die Korrekturschritte aus. | AuditIfNotExists, Deaktiviert | 1.0.0-Vorschau |
Endpunktsicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security-Benchmark: Endpunktsicherheit.
ES-1: Verwenden der Endpunkterkennung und -reaktion (EDR)
Funktionen
EDR-Lösung
Beschreibung: Endpoint Detection and Response (EDR)-Feature wie Azure Defender für Server kann auf dem Endpunkt bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Azure Defender für Server (mit microsoft Defender für Endpunkt integriert) bietet EDR-Funktionen, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Verwenden Sie Microsoft Defender für Cloud, um Azure Defender für Server für Ihren Endpunkt bereitzustellen und die Warnungen in Ihre SIEM-Lösung wie Azure Sentinel zu integrieren.
Referenz: Planen der Bereitstellung von Defender für Server
ES-2: Verwenden moderner Antischadsoftware
Funktionen
Antischadsoftware-Lösung
Beschreibung: Antischadsoftware-Features wie Microsoft Defender Antivirus und Microsoft Defender für Endpoint können auf dem Endpunkt bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Für Windows Server 2016 und höher ist Microsoft Defender für Antivirus standardmäßig installiert. Für Windows Server 2012 R2 und höher können Kunden SCEP (System Center Endpoint Protection) installieren. Alternativ können Kunden auch Antischadsoftwareprodukte von Drittanbietern installieren.
Referenz: Defender für Endpunkte Einarbeitung auf Windows-Servern
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Endpunktschutz-Integritätsprobleme sollten auf Ihren Computern behoben werden | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Deaktiviert | 1.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Endpunktschutz-Integritätsprobleme sollten auf Ihren Computern behoben werden | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Deaktiviert | 1.0.0 |
ES-3: Sicherstellen, dass Antischadsoftware und Signaturen aktualisiert werden
Funktionen
Überwachung des Zustands der Anti-Malware-Lösung
Beschreibung: Die Antischadsoftwarelösung bietet Überwachung des Gesundheitszustands für Plattform, Engine und automatische Signaturupdates. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Sicherheitsintelligenz und Produktupdates gelten für Defender for Endpoint, der auf den Windows-VMs installiert werden kann.
Konfigurationsleitfaden: Konfigurieren Sie Ihre Antischadsoftwarelösung, um sicherzustellen, dass die Plattform, das Modul und die Signaturen schnell und konsistent aktualisiert werden und ihr Status überwacht werden kann.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Endpunktschutz-Integritätsprobleme sollten auf Ihren Computern behoben werden | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Deaktiviert | 1.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Endpunktschutz-Integritätsprobleme sollten auf Ihren Computern behoben werden | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Deaktiviert | 1.0.0 |
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Datensicherung
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Aktivieren sie Azure Backup und konfigurieren Sie die Sicherungsquelle (z. B. Azure Virtual Machines, SQL Server, HANA-Datenbanken oder Dateifreigaben) in einer gewünschten Häufigkeit und mit einem gewünschten Aufbewahrungszeitraum. Für virtuelle Azure-Computer können Sie Azure-Richtlinie verwenden, um automatische Sicherungen zu aktivieren.
Referenz: Sicherungs- und Wiederherstellungsoptionen für virtuelle Computer in Azure
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Azure Backup sollte für virtuelle Computer aktiviert sein | Stellen Sie den Schutz Ihrer virtuellen Azure-Computer sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Datenschutzlösung für Azure. | AuditIfNotExists, Deaktiviert | 3.0.0 |
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Weitere Informationen zu Azure-Sicherheitsbaselines