Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Der aktuellste Azure Security-Benchmark ist hier verfügbar.
Sie können die Sicherheitskonfiguration von Azure-Ressourcen einrichten, implementieren und aktiv verwalten (nachverfolgen, melden, korrigieren), um Angreifer daran zu hindern, anfällige Dienste und Einstellungen auszunutzen.
7.1: Einrichten sicherer Konfigurationen für alle Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.1 | 5,1 | Kunde |
Verwenden Sie Azure-Richtlinienaliasen, um benutzerdefinierte Richtlinien zu erstellen, um die Konfiguration Ihrer Azure-Ressourcen zu überwachen oder zu erzwingen. Sie können auch integrierte Azure-Richtliniendefinitionen verwenden.
Außerdem hat Azure Resource Manager die Möglichkeit, die Vorlage in JavaScript Object Notation (JSON) zu exportieren, die überprüft werden sollte, um sicherzustellen, dass die Konfigurationen die Sicherheitsanforderungen für Ihre Organisation erfüllen/ überschreiten.
Sie können auch Empfehlungen aus Dem Azure Security Center als basisplan für sichere Konfigurationen für Ihre Azure-Ressourcen verwenden.
Lernprogramm: Erstellen und Verwalten von Richtlinien zum Erzwingen der Compliance
Einzel- und Mehrressourcenexport in eine Vorlage im Azure-Portal
7.2: Einrichten sicherer Betriebssystemkonfigurationen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.2 | 5,1 | Kunde |
Verwenden Sie Azure Security Center-Empfehlungen, um Sicherheitskonfigurationen für alle Computeressourcen beizubehalten. Darüber hinaus können Sie benutzerdefinierte Betriebssystemimages oder Azure Automation State-Konfiguration verwenden, um die Sicherheitskonfiguration des betriebssystems einzurichten, das von Ihrer Organisation benötigt wird.
So überwachen Sie Empfehlungen des Azure Security Centers
Laden Sie eine VHD hoch und verwenden Sie sie, um neue Windows-VMs in Azure zu erstellen
Erstellen einer Linux-VM von einem benutzerdefinierten Datenträger mit der Azure CLI
7.3: Verwalten von sicheren Konfigurationen für Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.3 | 5.2 | Kunde |
Verwenden Sie Azure-Richtlinie [verweigern] und [bereitstellen, falls nicht vorhanden], um sichere Einstellungen in Ihren Azure-Ressourcen zu erzwingen. Darüber hinaus können Sie Azure Resource Manager-Vorlagen verwenden, um die Sicherheitskonfiguration Ihrer Azure-Ressourcen zu verwalten, die von Ihrer Organisation benötigt werden.
7.4: Verwalten sicherer Betriebssystemkonfigurationen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.4 | 5.2 | Geteilt |
Folgen Sie den Empfehlungen des Azure Security Centers zum Durchführen von Sicherheitsrisikenbewertungen für Ihre Azure-Computeressourcen. Darüber hinaus können Sie Azure Resource Manager-Vorlagen, benutzerdefinierte Betriebssystemimages oder Azure Automation State-Konfiguration verwenden, um die Sicherheitskonfiguration des betriebssystems zu verwalten, das von Ihrer Organisation benötigt wird. Die Vorlagen für virtuelle Microsoft-Computer, die mit der Azure Automation Desired State Configuration kombiniert werden, können dabei helfen, die Sicherheitsanforderungen zu erfüllen und aufrechtzuerhalten.
Beachten Sie außerdem, dass Azure Marketplace Virtual Machine Images, die von Microsoft veröffentlicht werden, von Microsoft verwaltet und gepflegt werden.
Implementieren von Empfehlungen zur Bewertung von Sicherheitsrisiken im Azure Security Center
Erstellen eines virtuellen Azure-Computers aus einer Azure Resource Manager-Vorlage
Erstellen eines virtuellen Windows-Computers im Azure-Portal
Beispielskript zum Hochladen einer VHD in Azure und Erstellen eines neuen virtuellen Computers
7.5: Sicheres Speichern der Konfiguration von Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7,5 | 5.3 | Kunde |
Verwenden Sie Azure DevOps, um Ihren Code wie benutzerdefinierte Azure-Richtlinien, Azure Resource Manager-Vorlagen und Desired State Configuration-Skripts sicher zu speichern und zu verwalten. Um auf die ressourcen zuzugreifen, die Sie in Azure DevOps verwalten, können Sie bestimmten Benutzern, integrierten Sicherheitsgruppen oder Gruppen, die in Azure Active Directory (Azure AD) definiert sind, berechtigungen erteilen oder verweigern, wenn sie in Azure DevOps integriert sind, oder Active Directory, wenn sie in TFS integriert sind.
7.6: Sicheres Speichern von benutzerdefinierten Betriebssystemimages
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.6 | 5.3 | Kunde |
Wenn Sie benutzerdefinierte Images verwenden, verwenden Sie die rollenbasierte Zugriffssteuerung (Azure RBAC), um sicherzustellen, dass nur autorisierte Benutzer auf die Bilder zugreifen können. Mithilfe einer freigegebenen Bildergalerie können Sie Ihre Bilder für verschiedene Benutzer, Dienstprinzipale oder AD-Gruppen innerhalb Ihrer Organisation freigeben. Speichern Sie sie für Containerimages in der Azure-Containerregistrierung, und nutzen Sie Azure RBAC, um sicherzustellen, dass nur autorisierte Benutzer auf die Images zugreifen können.
7.7: Bereitstellen von Konfigurationsverwaltungstools für Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7,7 | 5.4 | Kunde |
Definieren und Implementieren von Standardsicherheitskonfigurationen für Azure-Ressourcen mithilfe von Azure Policy. Verwenden Sie Azure-Richtlinienaliasen, um benutzerdefinierte Richtlinien zu erstellen, um die Netzwerkkonfiguration Ihrer Azure-Ressourcen zu überwachen oder zu erzwingen. Sie können auch integrierte Richtliniendefinitionen im Zusammenhang mit Ihren spezifischen Ressourcen verwenden. Darüber hinaus können Sie Azure Automation verwenden, um Konfigurationsänderungen bereitzustellen.
7.8: Bereitstellen von Konfigurationsverwaltungstools für Betriebssysteme
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7,8 | 5.4 | Kunde |
Azure Automation State Configuration ist ein Konfigurationsverwaltungsdienst für DSC-Knoten (Desired State Configuration) in einer beliebigen Cloud oder einem lokalen Rechenzentrum. Sie können Maschinen ganz einfach einbinden, ihnen deklarative Konfigurationen zuweisen und Berichte anzeigen lassen, die die Einhaltung des gewünschten Zustands für jede Maschine zeigen, den Sie festgelegt haben.
7.9: Implementieren der automatisierten Konfigurationsüberwachung für Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.9 | 5.5 | Kunde |
Verwenden Sie Azure Security Center, um Baseline-Scans für Ihre Azure-Ressourcen durchzuführen. Verwenden Sie außerdem Azure-Richtlinie, um Azure-Ressourcenkonfigurationen zu warnen und zu überwachen.
7.10: Implementieren der automatisierten Konfigurationsüberwachung für Betriebssysteme
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.10 | 5.5 | Kunde |
Verwenden Sie Azure Security Center, um Basisüberprüfungen für Betriebssystem- und Docker-Einstellungen für Container durchzuführen.
7.11: Sicheres Verwalten von Azure-Geheimschlüsseln
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.11 | 13.1 | Kunde |
Verwenden Sie verwaltete Dienstidentität in Verbindung mit Azure Key Vault, um die geheime Verwaltung für Ihre Cloudanwendungen zu vereinfachen und zu sichern.
7.12: Verwalten von Identitäten sicher und automatisch
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.12 | 4,1 | Kunde |
Verwenden Sie verwaltete Identitäten, um Azure-Dienste mit einer automatisch verwalteten Identität in Azure AD bereitzustellen. Mit verwalteten Identitäten können Sie sich bei jedem Dienst authentifizieren, der die Azure AD-Authentifizierung unterstützt, einschließlich Key Vault, ohne Anmeldeinformationen in Ihrem Code.
7.13: Unbeabsichtigte Gefährdung von Anmeldeinformationen verhindern
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 7.13 | 18.1, 18.7 | Kunde |
Implementieren Sie den Anmeldeinformationsscanner, um Anmeldeinformationen im Code zu identifizieren. Der Anmeldeinformationsscanner empfiehlt auch das Verschieben von ermittelten Anmeldeinformationen zu sichereren Speicherorten wie Azure Key Vault.
Nächste Schritte
- Sehen Sie die nächste Sicherheitskontrolle: Schadsoftwareschutz