Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Das aktuellste up-to-Update des Azure Security Benchmark ist hier verfügbar.
Empfehlungen zur Identitäts- und Zugriffsverwaltung konzentrieren sich auf die Behandlung von Problemen im Zusammenhang mit der identitätsbasierten Zugriffssteuerung, sperren des Administrativen Zugriffs, Warnungen bei Identitätsereignissen, ungewöhnlichem Kontoverhalten und rollenbasierter Zugriffssteuerung.
3.1: Verwalten eines Bestands von Administratorkonten
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.1 | 4,1 | Kunde |
Azure AD verfügt über integrierte Rollen, die explizit zugewiesen und abgefragt werden können. Verwenden Sie das Azure AD PowerShell-Modul, um Ad-hoc-Abfragen auszuführen, um Konten zu ermitteln, die Mitglieder administrativer Gruppen sind.
So erhalten Sie eine Verzeichnisrolle in Azure AD mit PowerShell
So erhalten Sie Mitglieder einer Verzeichnisrolle in Azure AD mit PowerShell
3.2: Ändern von Standardkennwörtern bei Bedarf
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.2 | 4,2 | Kunde |
Azure AD verfügt nicht über das Konzept von Standardwörtern. Andere Azure-Ressourcen, die ein Kennwort erfordern, erzwingen die Erstellung eines Kennworts mit Komplexitätsanforderungen und einer mindesten Kennwortlänge, die je nach Dienst unterschiedlich ist. Sie sind für Anwendungen und Marketplace-Dienste von Drittanbietern verantwortlich, die Standard-Kennwörter verwenden können.
3.3: Verwenden dedizierter Administratorkonten
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.3 | 4.3 | Kunde |
Erstellen Sie Standardbetriebsverfahren für die Verwendung dedizierter Administrativer Konten. Verwenden Sie die Empfehlungen im Sicherheitssteuerelement "Zugriff und Berechtigungen verwalten" des Azure Security Centers, um die Anzahl der Administratorkonten zu überwachen.
Sie können auch eine Just-In-Time /Just-Enough-Access mithilfe von Azure AD Privileged Identity Management Privileged Roles for Microsoft Services und Azure Resource Manager aktivieren.
3.4: Verwenden des einmaligen Anmeldens (Single Sign-On, SSO) mit Azure Active Directory
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.4 | 4.4 | Kunde |
Verwenden Sie nach Möglichkeit Azure Active Directory SSO, anstatt einzelne eigenständige Anmeldeinformationen pro Dienst zu konfigurieren. Verwenden Sie die Empfehlungen im Sicherheitssteuerelement "Zugriff und Berechtigungen verwalten" des Azure Security Centers.
3.5: Verwenden der mehrstufigen Authentifizierung für den gesamten azure Active Directory-basierten Zugriff
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3,5 | 4.5, 11.5, 12.11, 16.3 | Kunde |
Aktivieren Sie Azure AD MFA, und folgen Sie den Empfehlungen für Azure Security Center-Identitäts- und Zugriffsverwaltung.
3.6: Verwenden von dedizierten Computern (Privileged Access Workstations) für alle administrativen Aufgaben
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.6 | 4.6, 11.6, 12.12 | Kunde |
Verwenden Sie PAWs (Arbeitsstationen mit privilegiertem Zugriff) mit MFA, die für die Anmeldung und Konfiguration von Azure-Ressourcen konfiguriert sind.
3.7: Protokollieren und Benachrichtigen verdächtiger Aktivitäten von Verwaltungskonten
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.7 | 4.8, 4.9 | Kunde |
Verwenden Sie Azure Active Directory-Sicherheitsberichte für die Generierung von Protokollen und Warnungen, wenn verdächtige oder unsichere Aktivitäten in der Umgebung auftreten. Verwenden Sie Azure Security Center, um Identitäts- und Zugriffsaktivitäten zu überwachen.
Identifizieren von Azure AD-Benutzern, die für riskante Aktivitäten gekennzeichnet sind
Überwachen der Identitäts- und Zugriffsaktivitäten von Benutzern im Azure Security Center
3.8: Verwalten von Azure-Ressourcen nur von genehmigten Standorten
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.8 | 11.7 | Kunde |
Verwenden Sie benannte Speicherorte für bedingten Zugriff, um den Zugriff nur von bestimmten logischen Gruppierungen von IP-Adressbereichen oder Ländern/Regionen zuzulassen.
3.9: Verwenden von Azure Active Directory
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Kunde |
Verwenden Sie Azure Active Directory als zentrales Authentifizierungs- und Autorisierungssystem. Azure AD schützt Daten durch eine starke Verschlüsselung für Daten im Ruhezustand und während der Übertragung. Azure AD salzt, hasht und speichert Benutzeranmeldeinformationen sicher.
3.10: Regelmäßige Überprüfung und Abstimmung des Benutzerzugriffs
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.10 | 16.9, 16.10 | Kunde |
Azure AD stellt Protokolle bereit, um veraltete Konten zu ermitteln. Verwenden Sie außerdem Azure Identity Access Reviews, um Gruppenmitgliedschaften, Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient zu verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Benutzer weiterhin Zugriff haben.
3.11: Überwachen von Versuchen, auf deaktivierte Anmeldeinformationen zuzugreifen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.11 | 16.12 | Kunde |
Sie haben Zugriff auf Azure AD-Anmeldeaktivitäts-, Überwachungs- und Risikoereignisprotokollquellen, mit denen Sie mit jedem SIEM/Monitoring-Tool integriert werden können.
Sie können diesen Prozess optimieren, indem Sie Diagnoseeinstellungen für Azure Active Directory-Benutzerkonten erstellen und die Überwachungsprotokolle und Anmeldeprotokolle an einen Log Analytics-Arbeitsbereich senden. Sie können die gewünschten Benachrichtigungen im Log Analytics-Arbeitsbereich konfigurieren.
3.12: Warnung bei Abweichung im Kontoanmeldungsverhalten
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.12 | 16.13 | Kunde |
Verwenden Sie Azure AD Risk and Identity Protection-Features, um automatisierte Antworten zu erkannten verdächtigen Aktionen im Zusammenhang mit Benutzeridentitäten zu konfigurieren. Sie können auch Daten zur weiteren Untersuchung in Azure Sentinel aufnehmen.
3.13: Microsoft den Zugriff auf relevante Kundendaten während Support-Szenarien gewähren
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 3.13 | 16 | Kunde |
In Supportszenarien, in denen Microsoft auf Kundendaten zugreifen muss, bietet Kunden-Lockbox eine Schnittstelle, über die Sie Kundendatenzugriffsanforderungen überprüfen und genehmigen oder ablehnen können.
Nächste Schritte
- Siehe die nächste Sicherheitskontrolle: Datenschutz