Implementieren und Bewerten von Sicherheitsrichtlinien

  • 12 Minuten

Das Engineering-Team bei Contoso beschließt, Security Center zu testen. Im Rahmen des Tests sollen eine Reihe von VM-Ressourcen geschützt werden. Auf dem Blatt Übersicht von Security Center überprüfen die Teammitglieder das Gesamtbild der Sicherheit. Das Team bemerkt, dass die Gesamtsicherheitsbewertung nur 38 Prozent beträgt. Sie stellen auch fest, dass es unter der Überschrift Ressourcensicherheitshygiene eine beträchtliche Anzahl von Empfehlungen gibt. Sie entscheiden sich für den Versuch, die Sicherheit Ihrer Ressourcen zu erhöhen.

A screenshot of the Overview page on the Security Center blade.

Überwachen der Einhaltung gesetzlicher Bestimmungen Ihrer VM

Das Team beginnt mit der Überprüfung der Einhaltung gesetzlicher Bestimmungen. Unter der Überschrift Einhaltung gesetzlicher Bestimmungen überprüft es die folgenden Messungen: PCI-DSS 3.2.1, ISO 27001 und Azure CIS 1.1.0. Ein Mitglied des Teams wählt die Kachel Einhaltung gesetzlicher Bestimmungen aus, und es werden zusätzliche Informationen angezeigt.

A screenshot of the Regulatory compliance blade in Security Center displaying the organization's regulatory compliance assessment..

In der folgenden Tabelle werden die Konformitätsstandards beschrieben, mit denen Sie Ihre Sicherheit messen können.

Konformitätsstandard BESCHREIBUNG
PCI-DSS 3.2.1 PCI-DSS (Payment Card Industry Data Security Standard) befasst sich mit Sicherheitsfragen für Organisationen, die Kreditkartenzahlungen verwalten, und soll Kartenbetrug reduzieren.
ISO 27001 Als Teil der 27000-Normenfamilie der International Standards Organization (ISO) definiert 27001 ein System, das die Verwaltung von IT-Systemen ermöglicht. Um zertifiziert zu werden, dass sie die Kriterien dieses Standards erfüllt haben, müssen sich Organisationen einer Überprüfung unterziehen.
Azure CIS 1.1.0 CIS (Center for Internet Security) ist eine Organisation, die an der Entwicklung bewährter Methoden zum Sichern von IT-Systemen beteiligt ist. Der Azure CIS 1.1.0-Standard wurde entwickelt, um sicherzustellen, dass Organisationen ihre Ressourcen in der Azure-Cloud sichern können.
SOC TSP Das SOC-Framework (Service Organization Controls) ist ein Standard für Kontrollen, die sich auf die Wahrung der Vertraulichkeit und des Datenschutzes der in der Cloud gespeicherten und verarbeiteten Daten konzentrieren.

Gehen Sie folgendermaßen vor, um den Compliancestatus in Bezug auf diese Standards zu überprüfen:

  1. Wählen Sie im Azure-Portal in Security Center auf dem Blatt Einhaltung rechtlicher Bestimmungen die Option Jetzt herunterladen > aus.

  2. Wählen Sie auf dem Blatt Bericht herunterladen in der Liste Berichtsstandard den Compliancestandard aus. Wählen Sie beispielsweise SOC TSP aus, und wählen Sie dann Herunterladen aus.

  3. Öffnen Sie die heruntergeladene PDF-Datei, und überprüfen Sie ihren Inhalt.

    A screenshot of a PDF report for SOC TSP. Failed controls and passed controls are listed in a color-coded table.

Gehen Sie wie folgt vor, um die Details der Konformitätsmaßnahmen auf dem Blatt Einhaltung gesetzlicher Bestimmungen zu überprüfen:

  1. Wählen Sie die entsprechende Registerkarte für den relevanten Standard aus. Wählen Sie beispielsweise SOC TSP aus.

    A screenshot of the Regulatory Compliance blade. The administrator has selected the SOC TSP tab, and expanded the C1 Additional Criteria for Confidentiality option. Assessment items are displayed.

  2. Wenn Sie weitere Details zu einer Empfehlung überprüfen möchten, wählen Sie diese in der Liste Bewertung aus, und wählen Sie dann Betroffene Computer anzeigen aus.

    A screenshot of the Logs blade in the Log Analytics workspace. A query has executed to return the result of machines that fail a specific security requirement.

Optimieren von Sicherheitsempfehlungen

Es reicht bei weitem nicht aus, nur zu überprüfen, wie Ihr Unternehmen im Vergleich zu Sicherheits- und Compliancestandards abschneidet. Sie sollten auch versuchen, Ihre Sicherheit zu erhöhen, um diese Standards zu erfüllen. Wenn Sie auf Sicherheitsempfehlungen zugreifen und diese anwenden möchten, wählen Sie im Azure-Portal in Security Center die Kachel Sicherheitsbewertung gesamt aus. Verwenden Sie das folgende Verfahren, um Empfehlungen für Ihr Abonnement anzuwenden:

  1. Wählen Sie im Dashboard der Sicherheitsbewertung das entsprechende Abonnement aus, und wählen Sie dann Empfehlungen anzeigen aus.

  2. Auf dem Blatt Empfehlungen können Sie einen CSV-Bericht herunterladen. Sie können auch die Details für die aufgeführten Empfehlungen erweitern.

    A screenshot of the Recommendations blade in the Security Center. Recommendations display, along with a potential score increase if you implement the recommendation, and the number of unhealthy resources.

  3. Wählen Sie eine bestimmte Empfehlung aus. Sie können dann auf dem Empfehlungsblatt (dessen Name je nach Empfehlungstitel variiert) Schritte zur Korrektur erweitern und die manuellen Schritte überprüfen, die zur Behebung des Sicherheitsproblems erforderlich sind. Sie können dann zu diesen Ressourcen wechseln und die Schritte zur Korrektur anwenden.

    Tipp

    Unter bestimmten Umständen können Sie eine schnelle Problembehebung anwenden, indem Sie für die jeweilige Empfehlung Wartung ausführen auswählen. Dadurch wird die Korrektur automatisch angewendet, wenn Sie eine Auswahl treffen.

  4. Sie können auch eine Logik-App anwenden, um die aufgelisteten Ressourcen zu korrigieren. Wählen Sie hierzu die betroffenen Ressourcen aus, und klicken Sie dann auf Logik-App auslösen.

    A screenshot of the Remediation steps and Affected resources. Three unhealthy resources are listed. Also displayed are the steps required to remediate the specified security issue.

  5. Wählen Sie auf dem Blatt Logik-App-Trigger nach dem Laden der Logik-Apps die entsprechende Logik-App aus, und klicken Sie dann auf Auslösen.

Ausführen einer Sicherheitsrisikobewertung für Ihre Windows Server-IaaS-VM

Sie können Security Center verwenden, um eine Sicherheitsrisikobewertung für Ihre VMs auszuführen. Zuerst müssen Sie jedoch eine Lösung zur Sicherheitsrisikobewertung für die erforderlichen Ressourcen installieren.

Installieren der Lösung zur Sicherheitsrisikobewertung

Azure bietet eine integrierte Lösung zur Sicherheitsrisikobewertung. Verwenden Sie das folgende Verfahren, um diese auf Ihren VMs zu aktivieren:

  1. Öffnen Sie Security Center, und wählen Sie dann Empfehlungen aus.

  2. Wählen Sie ggf. auf dem Blatt Empfehlungen ein entsprechendes Abonnement aus.

  3. Erweitern Sie in der Liste Steuerungen den Eintrag Sicherheitsrisiken beheben, und wählen Sie dann die Empfehlung Integrierte Lösung zur Sicherheitsrisikobewertung auf virtuellen Computern aktivieren (unterstützt von Qualys) aus.

    A screenshot of the Recommendations blade. The administrator has selected the Remediate vulnerabilities control. The Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys) remediation has the Quick Fix button available.

  4. Wählen Sie alle VMs aus, auf die Sie die Bewertung anwenden möchten, und wählen Sie dann Wartung ausführen aus.

    A screenshot of the Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys) blade. The administrator has selected all available VMs and is about to select Remediate.

  5. Wählen Sie auf dem Blatt Ressourcen warten die Option n Ressourcen warten aus. Der Vorgang kann je nach Anzahl der gewarteten Ressourcen einige Minuten oder auch länger dauern.

Tipp

Zusätzlich zum integrierten Sicherheitsrisikoscanner können Sie auch Scanner von Drittanbietern installieren.

Durchführen der Sicherheitsrisikobewertung

Nachdem Sie die Sicherheitsrisikobewertung installiert haben, können Sie die Bewertung durchführen. So beginnen Sie mit der Bewertung:

  1. Aktualisieren Sie auf dem Blatt Integrierte Lösung zur Sicherheitsrisikobewertung auf virtuellen Computern aktivieren (unterstützt von Qualys) die Anzeige, und warten Sie, bis alle Ressourcen auf der Registerkarte Fehlerfreie Ressourcen angezeigt werden. (Dies kann einige Minuten oder auch länger dauern.)
  2. Nachdem die Ressourcen auf der Registerkarte Fehlerfreie Ressourcen angezeigt werden, überprüfen Sie, ob die Überprüfung automatisch beginnt.

Hinweis

Die Überprüfungen werden in Abständen von vier Stunden durchgeführt. Diese Einstellung kann nicht geändert werden.

Nachdem Security Center Sicherheitsrisiken identifiziert hat, werden diese als Empfehlungen angezeigt. Gehen Sie folgendermaßen vor, um die Ergebnisse zu überprüfen und das identifizierte Sicherheitsrisiko zu beheben:

  1. Öffnen Sie Azure Security Center, und navigieren Sie zur Seite Empfehlungen.
  2. Wählen Sie Sicherheitsrisiken beheben aus, und wählen Sie dann Sicherheitsrisiken auf Ihren virtuellen Computern sollten behoben werden (unterstützt von Qualys) aus.

Security Center zeigt alle Ergebnisse für alle VMs in den aktuell ausgewählten Abonnements an. Diese Ergebnisse werden in der Reihenfolge des Schweregrads aufgeführt. Wählen Sie ein Sicherheitsrisiko aus, um mehr Informationen dazu anzuzeigen.

A screenshot of the Vulnerabilities in your virtual machines should be remediated (powered by Qualys) blade. The Security Checks section lists a number of vulnerabilities.

Tipp

Öffnen Sie zum Filtern der Ergebnisse nach einer bestimmten VM den Abschnitt Betroffene Ressourcen, und wählen Sie die VM dann aus. Alternativ dazu können Sie unter „Ressourcenintegrität“ eine VM auswählen und alle relevanten Empfehlungen für diese Ressource anzeigen.

Zusätzliche Lektüre

Weitere Informationen finden Sie in den folgenden Artikeln: