Details zur integrierten Initiative zur Einhaltung gesetzlicher Bestimmungen für FedRAMP Moderate
Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in FedRAMP Moderate entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate. Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.
Die folgenden Zuordnungen gelten für die FedRAMP Moderate-Steuerungen. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der integrierten Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß FedRAMP Moderate, und wählen Sie sie aus.
Wichtig
Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.
Zugriffssteuerung
Richtlinien und Verfahren für die Zugriffssteuerung
ID: FedRAMP Moderate AC-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriffssteuerungsrichtlinien und -prozeduren entwickeln | CMA_0144 – Zugriffssteuerungsrichtlinien und -prozeduren entwickeln | Manuell, deaktiviert | 1.1.0 |
| Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
| Richtlinien und Prozeduren steuern | CMA_0292 – Richtlinien und Prozeduren steuern | Manuell, deaktiviert | 1.1.0 |
| Zugriffssteuerungsrichtlinien und -prozeduren überprüfen | CMA_0457 – Zugriffssteuerungsrichtlinien und -verfahren überprüfen | Manuell, deaktiviert | 1.1.0 |
Kontoverwaltung
ID: FedRAMP Moderate AC-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Kundenbetreuer zuweisen | CMA_0015 – Kundenbetreuer zuweisen | Manuell, deaktiviert | 1.1.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
| Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Bedingungen für freigegebene und Gruppenkonten definieren und erzwingen | CMA_0117: Definieren und Erzwingen von Bedingungen für freigegebene Konten und Gruppenkonten | Manuell, deaktiviert | 1.1.0 |
| Informationssystem-Kontotypen definieren | CMA_0121 – Informationssystem-Kontotypen definieren | Manuell, deaktiviert | 1.1.0 |
| Zugriffsrechte dokumentieren | CMA_0186 – Zugriffsrechte dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Bedingungen für die Rollenmitgliedschaft festlegen | CMA_0269 – Bedingungen für die Rollenmitgliedschaft festlegen | Manuell, deaktiviert | 1.1.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Kontoaktivität überwachen | CMA_0377 – Kontoaktivität überwachen | Manuell, deaktiviert | 1.1.0 |
| Kundenbetreuer über kundengesteuerte Konten benachrichtigen | CMA_C1009 – Kundenbetreuer über kundengesteuerte Konten benachrichtigen | Manuell, deaktiviert | 1.1.0 |
| Authentifikatoren für geänderte Gruppen und Konten erneut ausstellen | CMA_0426 – Authentifikatoren für geänderte Gruppen und Konten erneut ausstellen | Manuell, deaktiviert | 1.1.0 |
| Genehmigung für Kontoerstellung anfordern | CMA_0431 – Genehmigung für Kontoerstellung anfordern | Manuell, deaktiviert | 1.1.0 |
| Zugriff auf privilegierte Konten einschränken | CMA_0446 – Zugriff auf privilegierte Konten einschränken | Manuell, deaktiviert | 1.1.0 |
| Kontobereitstellungsprotokolle überprüfen | CMA_0460 – Kontobereitstellungsprotokolle überprüfen | Manuell, deaktiviert | 1.1.0 |
| Überprüfen von Benutzerkonten | CMA_0480 – Überprüfen von Benutzerkonten | Manuell, deaktiviert | 1.1.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Automatisierte Systemkontoverwaltung
ID: FedRAMP Moderate AC-2 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| Kontoverwaltung automatisieren | CMA_0026 – Kontoverwaltung automatisieren | Manuell, deaktiviert | 1.1.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| System- und Administratorkonten verwalten | CMA_0368 – System- und Administratorkonten verwalten | Manuell, deaktiviert | 1.1.0 |
| Zugriff in der gesamten Organisation überwachen | CMA_0376 – Zugriff in der gesamten Organisation überwachen | Manuell, deaktiviert | 1.1.0 |
| Benachrichtigen, wenn das Konto nicht benötigt wird | CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird | Manuell, deaktiviert | 1.1.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Deaktivieren inaktiver Konten
ID: FedRAMP Moderate AC-2 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Authentifikatoren bei Beendigung deaktivieren | CMA_0169 – Authentifikatoren bei Beendigung deaktivieren | Manuell, deaktiviert | 1.1.0 |
| Privilegierte Rollen nach Bedarf widerrufen | CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen | Manuell, deaktiviert | 1.1.0 |
Automatisierte Überwachung von Aktionen
ID: FedRAMP Moderate AC-2 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
| Kontoverwaltung automatisieren | CMA_0026 – Kontoverwaltung automatisieren | Manuell, deaktiviert | 1.1.0 |
| System- und Administratorkonten verwalten | CMA_0368 – System- und Administratorkonten verwalten | Manuell, deaktiviert | 1.1.0 |
| Zugriff in der gesamten Organisation überwachen | CMA_0376 – Zugriff in der gesamten Organisation überwachen | Manuell, deaktiviert | 1.1.0 |
| Benachrichtigen, wenn das Konto nicht benötigt wird | CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird | Manuell, deaktiviert | 1.1.0 |
Abmeldung nach Inaktivität
ID: FedRAMP Moderate AC-2 (5) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Definieren und Erzwingen einer Inaktivitätsprotokollrichtlinie | CMA_C1017: Definieren und Erzwingen einer Inaktivitätsprotokollrichtlinie | Manuell, deaktiviert | 1.1.0 |
Rollenbasierte Schemas
ID: FedRAMP Moderate AC-2 (7) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Kontoaktivität überwachen | CMA_0377 – Kontoaktivität überwachen | Manuell, deaktiviert | 1.1.0 |
| Privilegierte Rollenzuweisung überwachen | CMA_0378 – Privilegierte Rollenzuweisung überwachen | Manuell, deaktiviert | 1.1.0 |
| Zugriff auf privilegierte Konten einschränken | CMA_0446 – Zugriff auf privilegierte Konten einschränken | Manuell, deaktiviert | 1.1.0 |
| Privilegierte Rollen nach Bedarf widerrufen | CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen | Manuell, deaktiviert | 1.1.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
| Privileged Identity Management verwenden | CMA_0533 – Privileged Identity Management verwenden | Manuell, deaktiviert | 1.1.0 |
Einschränkungen in Bezug auf die Verwendung von freigegebenen Konten und Gruppenkonten
ID: FedRAMP Moderate AC-2 (9) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Bedingungen für freigegebene und Gruppenkonten definieren und erzwingen | CMA_0117: Definieren und Erzwingen von Bedingungen für freigegebene Konten und Gruppenkonten | Manuell, deaktiviert | 1.1.0 |
Stornierung von Anmeldeinformationen von freigegebenen Konten oder Gruppenkonten
ID: FedRAMP Moderate AC-2 (10) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Kundengesteuerte Kontoanmeldeinformationen beenden | CMA_C1022 – Kundengesteuerte Kontoanmeldeinformationen beenden | Manuell, deaktiviert | 1.1.0 |
Kontoüberwachung/atypische Verwendung
ID: FedRAMP Moderate AC-2 (12) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Kontoaktivität überwachen | CMA_0377 – Kontoaktivität überwachen | Manuell, deaktiviert | 1.1.0 |
| Atypisches Verhalten von Benutzerkonten melden | CMA_C1025 – Atypisches Verhalten von Benutzerkonten melden | Manuell, deaktiviert | 1.1.0 |
Zugriffserzwingung
ID: FedRAMP Moderate AC-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. | AuditIfNotExists, Disabled | 3.1.0 |
| Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
| Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Logischen Zugriff erzwingen | CMA_0245 – Logischen Zugriff erzwingen | Manuell, deaktiviert | 1.1.0 |
| Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Genehmigung für Kontoerstellung anfordern | CMA_0431 – Genehmigung für Kontoerstellung anfordern | Manuell, deaktiviert | 1.1.0 |
| Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | Manuell, deaktiviert | 1.1.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
| Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
| VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Erzwingung des Datenflusses
ID: FedRAMP Moderate AC-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-veraltet |
| [Veraltet] Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-deprecated |
| [Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten | Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.0-preview |
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
| API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.1 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
| Azure API for FHIR sollte einen privaten Link verwenden | Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. | Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Der Azure Web PubSub-Dienst muss Private Link verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Informationsfluss steuern | CMA_0079 – Informationsfluss steuern | Manuell, deaktiviert | 1.1.0 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | Manuell, deaktiviert | 1.1.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Privater Endpunkt muss für MariaDB-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für MySQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
| Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 2.0.1 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Physische/logische Trennung von Informationsflüssen
ID: FedRAMP Moderate AC-4 (21) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Informationsfluss steuern | CMA_0079 – Informationsfluss steuern | Manuell, deaktiviert | 1.1.0 |
| Firewall- und Routerkonfigurationsstandards einrichten | CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten | Manuell, deaktiviert | 1.1.0 |
| Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | Manuell, deaktiviert | 1.1.0 |
| Downstream-Informationsaustausche identifizieren und verwalten | CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Aufgabentrennung
ID: FedRAMP Moderate AC-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriffsberechtigungen zur Unterstützung der Aufgabentrennung definieren | CMA_0116 – Zugriffsberechtigungen zur Unterstützung der Aufgabentrennung definieren | Manuell, deaktiviert | 1.1.0 |
| Trennung von Aufgaben dokumentieren | CMA_0204 – Trennung von Aufgaben dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Aufgaben von Einzelpersonen trennen | CMA_0492 – Aufgaben von Einzelpersonen trennen | Manuell, deaktiviert | 1.1.0 |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Ansatz der geringsten Rechte
ID: FedRAMP Moderate AC-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
| Zugriffssteuerungsmodell entwerfen | CMA_0129 – Zugriffssteuerungsmodell entwerfen | Manuell, deaktiviert | 1.1.0 |
| Zugriff mit den geringsten Rechten verwenden | CMA_0212 – Zugriff mit den geringsten Rechten verwenden | Manuell, deaktiviert | 1.1.0 |
Autorisieren des Zugriffs auf Sicherheitsfunktionen
ID: FedRAMP Moderate AC-6 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
| Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
| Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Privilegierte Konten
ID: FedRAMP Moderate AC-6 (5) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriff auf privilegierte Konten einschränken | CMA_0446 – Zugriff auf privilegierte Konten einschränken | Manuell, deaktiviert | 1.1.0 |
Überwachen der Verwendung privilegierter Funktionen
ID: FedRAMP Moderate AC-6 (9) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
| Volltextanalyse der protokollierten privilegierten Befehle durchführen | CMA_0056 – Volltextanalyse der protokollierten privilegierten Befehle durchführen | Manuell, deaktiviert | 1.1.0 |
| Privilegierte Rollenzuweisung überwachen | CMA_0378 – Privilegierte Rollenzuweisung überwachen | Manuell, deaktiviert | 1.1.0 |
| Zugriff auf privilegierte Konten einschränken | CMA_0446 – Zugriff auf privilegierte Konten einschränken | Manuell, deaktiviert | 1.1.0 |
| Privilegierte Rollen nach Bedarf widerrufen | CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen | Manuell, deaktiviert | 1.1.0 |
| Privileged Identity Management verwenden | CMA_0533 – Privileged Identity Management verwenden | Manuell, deaktiviert | 1.1.0 |
Fehlgeschlagene Anmeldeversuche
ID: FedRAMP Moderate AC-7 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Grenzwert für aufeinanderfolgende fehlgeschlagene Anmeldeversuche erzwingen | CMA_C1044 – Grenzwert für aufeinanderfolgende fehlgeschlagene Anmeldeversuche erzwingen | Manuell, deaktiviert | 1.1.0 |
Steuerung gleichzeitiger Sitzungen
ID: FedRAMP Moderate AC-10 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Definieren und Erzwingen des Grenzwerts für gleichzeitige Sitzungen | CMA_C1050: Definieren und Erzwingen des Grenzwerts für gleichzeitige Sitzungen | Manuell, deaktiviert | 1.1.0 |
Beendigung der Sitzung
ID: FedRAMP Moderate AC-12 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Benutzersitzung automatisch beenden | CMA_C1054 – Benutzersitzung automatisch beenden | Manuell, deaktiviert | 1.1.0 |
Zulässige Aktionen ohne Identifizierung oder Authentifizierung
ID: FedRAMP Moderate AC-14 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ohne Authentifizierung zulässige Aktionen identifizieren | CMA_0295 – Ohne Authentifizierung zulässige Aktionen identifizieren | Manuell, deaktiviert | 1.1.0 |
Remotezugriff
ID: FedRAMP Moderate AC-17 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-veraltet |
| [Veraltet] Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-deprecated |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Disabled | 3.1.0 |
| Remotezugriff autorisieren | CMA_0024 – Remotezugriff autorisieren | Manuell, deaktiviert | 1.1.0 |
| Azure API for FHIR sollte einen privaten Link verwenden | Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Spring Cloud muss Netzwerkinjektion verwenden | Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben | Audit, Disabled, Deny | 1.2.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Der Azure Web PubSub-Dienst muss Private Link verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Mobilitätstraining dokumentieren | CMA_0191 – Mobilitätstraining dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Richtlinien für den Remotezugriff dokumentieren | CMA_0196 – Richtlinien für den Remotezugriff dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | Manuell, deaktiviert | 1.1.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Privater Endpunkt muss für MariaDB-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für MySQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Training zum Datenschutz bereitstellen | CMA_0415 – Training zum Datenschutz bereitstellen | Manuell, deaktiviert | 1.1.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Automatisierte Überwachung/Steuerung
ID: FedRAMP Moderate AC-17 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-veraltet |
| [Veraltet] Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-deprecated |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Disabled | 3.1.0 |
| Azure API for FHIR sollte einen privaten Link verwenden | Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Spring Cloud muss Netzwerkinjektion verwenden | Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben | Audit, Disabled, Deny | 1.2.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Der Azure Web PubSub-Dienst muss Private Link verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Zugriff in der gesamten Organisation überwachen | CMA_0376 – Zugriff in der gesamten Organisation überwachen | Manuell, deaktiviert | 1.1.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Privater Endpunkt muss für MariaDB-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für MySQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Schutz der Vertraulichkeit/Integrität mithilfe von Verschlüsselung
ID: FedRAMP Moderate AC-17 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Benutzer über Systemanmeldung oder -zugriff benachrichtigen | CMA_0382 – Benutzer über Systemanmeldung oder -zugriff benachrichtigen | Manuell, deaktiviert | 1.1.0 |
| In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Verwaltete Zugriffssteuerungspunkte
ID: FedRAMP Moderate AC-17 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Datenverkehr über verwaltete Netzwerkzugriffspunkte weiterleiten | CMA_0484 – Datenverkehr über verwaltete Netzwerkzugriffspunkte weiterleiten | Manuell, deaktiviert | 1.1.0 |
Privilegierte Befehle/Zugriff
ID: FedRAMP Moderate AC-17 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Remotezugriff autorisieren | CMA_0024 – Remotezugriff autorisieren | Manuell, deaktiviert | 1.1.0 |
| Remotezugriff auf berechtigte Befehle autorisieren | CMA_C1064: Remotezugriff auf berechtigte Befehle autorisieren | Manuell, deaktiviert | 1.1.0 |
| Richtlinien für den Remotezugriff dokumentieren | CMA_0196 – Richtlinien für den Remotezugriff dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | Manuell, deaktiviert | 1.1.0 |
| Training zum Datenschutz bereitstellen | CMA_0415 – Training zum Datenschutz bereitstellen | Manuell, deaktiviert | 1.1.0 |
Trennen/Deaktivieren des Zugriffs
ID: FedRAMP Moderate AC-17 (9) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Bereitstellen von Funktionen zum Trennen oder Deaktivieren des Remotezugriffs | CMA_C1066: Bereitstellen von Funktionen zum Trennen oder Deaktivieren des Remotezugriffs | Manuell, deaktiviert | 1.1.0 |
Drahtloser Zugriff
ID: FedRAMP Moderate AC-18 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Richtlinien für den Drahtloszugriff dokumentieren und implementieren | CMA_0190 – Richtlinien für den Drahtloszugriff dokumentieren und implementieren | Manuell, deaktiviert | 1.1.0 |
| Drahtlosen Zugriff schützen | CMA_0411 – Drahtlosen Zugriff schützen | Manuell, deaktiviert | 1.1.0 |
Authentifizierung und Verschlüsselung
ID: FedRAMP Moderate AC-18 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Richtlinien für den Drahtloszugriff dokumentieren und implementieren | CMA_0190 – Richtlinien für den Drahtloszugriff dokumentieren und implementieren | Manuell, deaktiviert | 1.1.0 |
| Netzwerkgeräte identifizieren und authentifizieren | CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren | Manuell, deaktiviert | 1.1.0 |
| Drahtlosen Zugriff schützen | CMA_0411 – Drahtlosen Zugriff schützen | Manuell, deaktiviert | 1.1.0 |
Zugriffssteuerung für mobile Geräte
ID: FedRAMP Moderate AC-19 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Anforderungen für mobile Geräte definieren | CMA_0122 – Anforderungen für mobile Geräte definieren | Manuell, deaktiviert | 1.1.0 |
Vollständige geräte-/containerbasierte Verschlüsselung
ID: FedRAMP Moderate AC-19 (5) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Anforderungen für mobile Geräte definieren | CMA_0122 – Anforderungen für mobile Geräte definieren | Manuell, deaktiviert | 1.1.0 |
| In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Nutzung externer Informationssysteme
ID: FedRAMP Moderate AC-20 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Bedingungen für den Zugang zu den Ressourcen festlegen | CMA_C1076 – Bedingungen für den Zugang zu den Ressourcen festlegen | Manuell, deaktiviert | 1.1.0 |
| Bedingungen für die Verarbeitung von Ressourcen festlegen | CMA_C1077 – Geschäftsbedingungen für die Verarbeitung von Ressourcen festlegen | Manuell, deaktiviert | 1.1.0 |
Beschränkungen der zulässigen Nutzung
ID: FedRAMP Moderate AC-20 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitskontrollen für externe Informationssysteme überprüfen | CMA_0541 – Sicherheitskontrollen für externe Informationssysteme überprüfen | Manuell, deaktiviert | 1.1.0 |
Tragbare Speichergeräte
ID: FedRAMP Moderate AC-20 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
| Verwendung tragbarer Speichergeräte steuern | CMA_0083 – Verwendung tragbarer Speichergeräte steuern | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Gemeinsame Nutzung von Informationen
ID: FedRAMP Moderate AC-21 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Entscheidungen zur Informationsfreigabe automatisieren | CMA_0028: Automatisieren von Entscheidungen zur Informationsfreigabe | Manuell, deaktiviert | 1.1.0 |
| Unterstützen der Informationsfreigabe | CMA_0284: Unterstützen der Informationsfreigabe | Manuell, deaktiviert | 1.1.0 |
Öffentlich zugängliche Inhalte
ID: FedRAMP Moderate AC-22 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Autorisierte Mitarbeiter zum Veröffentlichen öffentlich zugänglicher Informationen bestimmen | CMA_C1083 – Autorisierte Mitarbeiter zum Veröffentlichen öffentlich zugänglicher Informationen bestimmen | Manuell, deaktiviert | 1.1.0 |
| Überprüfen von Inhalten vor dem Veröffentlichen öffentlich zugänglicher Informationen | CMA_C1085: Überprüfen von Inhalten vor dem Veröffentlichen öffentlich zugänglicher Informationen | Manuell, deaktiviert | 1.1.0 |
| Überprüfen öffentlich zugänglicher Inhalte auf nicht öffentliche Informationen | CMA_C1086: Öffentlich zugängliche Inhalte auf nicht öffentliche Informationen überprüfen | Manuell, deaktiviert | 1.1.0 |
| Mitarbeiter zur Offenlegung von nicht öffentlichen Informationen trainieren | CMA_C1084 – Mitarbeiter zur Offenlegung von nicht öffentlichen Informationen trainieren | Manuell, deaktiviert | 1.1.0 |
Sensibilität und Training
Sicherheitsbewusstsein und -schulungen – Richtlinien und Verfahren
ID: FedRAMP Moderate AT-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Trainingsaktivitäten für Sicherheit und Datenschutz dokumentieren | CMA_0198 – Trainingsaktivitäten für Sicherheit und Datenschutz dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Informationssicherheitsrichtlinien aktualisieren | CMA_0518 – Informationssicherheitsrichtlinien aktualisieren | Manuell, deaktiviert | 1.1.0 |
Schulung zum Sicherheitsbewusstsein
ID: FedRAMP Moderate AT-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen | CMA_C1091 – Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
| Sicherheitstraining für neue Benutzer bereitstellen | CMA_0419 – Sicherheitstraining für neue Benutzer bereitstellen | Manuell, deaktiviert | 1.1.0 |
| Aktualisiertes Sicherheitsbewusstseinstraining bereitstellen | CMA_C1090 – Aktualisiertes Sicherheitsbewusstseinstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
Insiderbedrohung
ID: FedRAMP Moderate AT-2 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Schulung zum Sicherheitsbewusstsein für Insiderbedrohungen bereitstellen | CMA_0417: Bereitstellen von Training zum Sicherheitsbewusstsein für Insider-Bedrohungen | Manuell, deaktiviert | 1.1.0 |
Rollenbasierte Sicherheitsschulung
ID: FedRAMP Moderate AT-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen | CMA_C1095 – Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
| Rollenbasierte Sicherheitstrainings bereitstellen | CMA_C1094 – Rollenbasierte Sicherheitstrainings bereitstellen | Manuell, deaktiviert | 1.1.0 |
| Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen | CMA_0418 – Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
Datensätze von Sicherheitsschulungen
ID: FedRAMP Moderate AT-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Trainingsaktivitäten für Sicherheit und Datenschutz dokumentieren | CMA_0198 – Trainingsaktivitäten für Sicherheit und Datenschutz dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Abschluss des Trainings zu Sicherheit und Datenschutz überwachen | CMA_0379 – Abschluss des Trainings zu Sicherheit und Datenschutz überwachen | Manuell, deaktiviert | 1.1.0 |
| Trainingsaufzeichnungen behalten | CMA_0456 – Trainingsaufzeichnungen behalten | Manuell, deaktiviert | 1.1.0 |
Überwachung und Verantwortlichkeit
Überwachung und Verantwortlichkeit – Richtlinien und Verfahren
ID: FedRAMP Moderate AU-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Richtlinien und Prozeduren für Überwachung und Verantwortlichkeit entwickeln | CMA_0154 – Richtlinien und Prozeduren für Überwachung und Verantwortlichkeit entwickeln | Manuell, deaktiviert | 1.1.0 |
| Informationssicherheitsrichtlinien und -prozeduren entwickeln | CMA_0158 – Informationssicherheitsrichtlinien und -prozeduren entwickeln | Manuell, deaktiviert | 1.1.0 |
| Richtlinien und Prozeduren steuern | CMA_0292 – Richtlinien und Prozeduren steuern | Manuell, deaktiviert | 1.1.0 |
| Informationssicherheitsrichtlinien aktualisieren | CMA_0518 – Informationssicherheitsrichtlinien aktualisieren | Manuell, deaktiviert | 1.1.0 |
Überwachungsereignisse
ID: FedRAMP Moderate AU-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Überprüfungen und Updates
ID: FedRAMP Moderate AU-2 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| In AU-02 definierte Ereignisse überprüfen und aktualisieren | CMA_C1106 – In AU-02 definierte Ereignisse überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Inhalt von Überwachungsdatensätzen
ID: FedRAMP Moderate AU-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Zusätzliche Überwachungsinformationen
ID: FedRAMP Moderate AU-3 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure-Überwachungsfunktionen konfigurieren | CMA_C1108: Azure-Überwachungsfunktionen konfigurieren | Manuell, deaktiviert | 1.1.1 |
Speicherkapazität für Überwachungsdatensätze
ID: FedRAMP Moderate AU-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Überwachungsverarbeitungsaktivitäten steuern und überwachen | CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen | Manuell, deaktiviert | 1.1.0 |
Reaktion auf Fehler bei der Überwachungsverarbeitung
ID: FedRAMP Moderate AU-5 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Überwachungsverarbeitungsaktivitäten steuern und überwachen | CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen | Manuell, deaktiviert | 1.1.0 |
Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung
ID: FedRAMP Moderate AU-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Überwachungsdatensätze korrelieren | CMA_0087 – Überwachungsdatensätze korrelieren | Manuell, deaktiviert | 1.1.0 |
| Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen | CMA_0277 – Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen | Manuell, deaktiviert | 1.1.0 |
| Überprüfung, Analyse und Berichterstellung der Überwachung integrieren | CMA_0339 – Überprüfung, Analyse und Berichterstellung der Überwachung integrieren | Manuell, deaktiviert | 1.1.0 |
| Cloud App Security in SIEM integrieren | CMA_0340 – Cloud App Security in SIEM integrieren | Manuell, deaktiviert | 1.1.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| Kontobereitstellungsprotokolle überprüfen | CMA_0460 – Kontobereitstellungsprotokolle überprüfen | Manuell, deaktiviert | 1.1.0 |
| Administratorzuweisungen wöchentlich überprüfen | CMA_0461 – Administratorzuweisungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
| Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
| Übersicht über den Cloud-Identitätsbericht überprüfen | CMA_0468 – Übersicht über den Cloud-Identitätsbericht überprüfen | Manuell, deaktiviert | 1.1.0 |
| Überwachte Ordnerzugriffsereignisse überprüfen | CMA_0471 – Überwachte Ordnerzugriffsereignisse überprüfen | Manuell, deaktiviert | 1.1.0 |
| Datei- und Ordneraktivitäten überprüfen | CMA_0473 – Datei- und Ordneraktivitäten überprüfen | Manuell, deaktiviert | 1.1.0 |
| Rollengruppenänderungen wöchentlich überprüfen | CMA_0476 – Rollengruppenänderungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Prozessintegration
ID: FedRAMP Moderate AU-6 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Überwachungsdatensätze korrelieren | CMA_0087 – Überwachungsdatensätze korrelieren | Manuell, deaktiviert | 1.1.0 |
| Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen | CMA_0277 – Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen | Manuell, deaktiviert | 1.1.0 |
| Überprüfung, Analyse und Berichterstellung der Überwachung integrieren | CMA_0339 – Überprüfung, Analyse und Berichterstellung der Überwachung integrieren | Manuell, deaktiviert | 1.1.0 |
| Cloud App Security in SIEM integrieren | CMA_0340 – Cloud App Security in SIEM integrieren | Manuell, deaktiviert | 1.1.0 |
| Kontobereitstellungsprotokolle überprüfen | CMA_0460 – Kontobereitstellungsprotokolle überprüfen | Manuell, deaktiviert | 1.1.0 |
| Administratorzuweisungen wöchentlich überprüfen | CMA_0461 – Administratorzuweisungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
| Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
| Übersicht über den Cloud-Identitätsbericht überprüfen | CMA_0468 – Übersicht über den Cloud-Identitätsbericht überprüfen | Manuell, deaktiviert | 1.1.0 |
| Überwachte Ordnerzugriffsereignisse überprüfen | CMA_0471 – Überwachte Ordnerzugriffsereignisse überprüfen | Manuell, deaktiviert | 1.1.0 |
| Datei- und Ordneraktivitäten überprüfen | CMA_0473 – Datei- und Ordneraktivitäten überprüfen | Manuell, deaktiviert | 1.1.0 |
| Rollengruppenänderungen wöchentlich überprüfen | CMA_0476 – Rollengruppenänderungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Korrelieren von Überwachungsrepositorys
ID: FedRAMP Moderate AU-6 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Überwachungsdatensätze korrelieren | CMA_0087 – Überwachungsdatensätze korrelieren | Manuell, deaktiviert | 1.1.0 |
| Cloud App Security in SIEM integrieren | CMA_0340 – Cloud App Security in SIEM integrieren | Manuell, deaktiviert | 1.1.0 |
Überwachungsreduzierung und Berichterstellung
ID: FedRAMP Moderate AU-7 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherstellen, dass Überwachungsdatensätze nicht geändert werden | CMA_C1125: Sicherstellen, dass Überwachungsdatensätze nicht geändert werden | Manuell, deaktiviert | 1.1.0 |
| Auditüberprüfung, Analyse- und Berichtsfunktionen anbieten | CMA_C1124: Auditüberprüfung, Analyse- und Berichtsfunktionen bereitstellen | Manuell, deaktiviert | 1.1.0 |
Automatische Verarbeitung
ID: FedRAMP Moderate AU-7 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Bereitstellen der Funktion zum Verarbeiten von kundengesteuerten Überwachungsdatensätzen | CMA_C1126: Bereitstellen der Funktion zum Verarbeiten von kundengesteuerten Überwachungsdatensätzen | Manuell, deaktiviert | 1.1.0 |
Zeitstempel
ID: FedRAMP Moderate AU-8 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemuhren für Überwachungsdatensätze verwenden | CMA_0535 – Systemuhren für Überwachungsdatensätze verwenden | Manuell, deaktiviert | 1.1.0 |
Synchronisierung mit autoritativer Zeitquelle
ID: FedRAMP Moderate AU-8 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemuhren für Überwachungsdatensätze verwenden | CMA_0535 – Systemuhren für Überwachungsdatensätze verwenden | Manuell, deaktiviert | 1.1.0 |
Schutz von Überwachungsinformationen
ID: FedRAMP Moderate AU-9 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Duale oder gemeinsame Autorisierung aktivieren | CMA_0226 – Duale oder gemeinsame Autorisierung aktivieren | Manuell, deaktiviert | 1.1.0 |
| Überwachungsinformationen schützen | CMA_0401 – Überwachungsinformationen schützen | Manuell, deaktiviert | 1.1.0 |
Sicherung von Überwachungsinformationen auf getrennten physischen Systemen/Komponenten
ID: FedRAMP Moderate AU-9 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherungsrichtlinien und -prozeduren einrichten | CMA_0268 – Sicherungsrichtlinien und -prozeduren einrichten | Manuell, deaktiviert | 1.1.0 |
Zugriff durch eine Teilmenge berechtigter Benutzer
ID: FedRAMP Moderate AU-9 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Überwachungsinformationen schützen | CMA_0401 – Überwachungsinformationen schützen | Manuell, deaktiviert | 1.1.0 |
Aufbewahrung von Überwachungsdatensätzen
ID: FedRAMP Moderate AU-11 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Festgelegte Aufbewahrungszeiträume einhalten | CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsrichtlinien und -verfahren beibehalten | CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten | Manuell, deaktiviert | 1.1.0 |
| Daten von gekündigten Benutzern aufbewahren | CMA_0455 – Daten von gekündigten Benutzern aufbewahren | Manuell, deaktiviert | 1.1.0 |
| Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 3.0.0 |
Generierung von Überwachungsdatensätzen
ID: FedRAMP Moderate AU-12 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
| Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
| Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
| Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In IoT Hub müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 3.1.0 |
| In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
| In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Sicherheitsbewertung und Autorisierung
Sicherheitsbewertungs- und -autorisierungsrichtlinie und -verfahren
ID: FedRAMP Moderate CA-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Richtlinien und Prozeduren zur Sicherheitsbewertung und Autorisierung überprüfen | CMA_C1143 – Richtlinien und Prozeduren zur Sicherheitsbewertung und Autorisierung überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsbewertungen
ID: FedRAMP Moderate CA-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitskontrollen bewerten | CMA_C1145 – Sicherheitskontrollen bewerten | Manuell, deaktiviert | 1.1.0 |
| Ergebnisse der Sicherheitsbewertung liefern | CMA_C1147 – Ergebnisse der Sicherheitsbewertung liefern | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsbewertungsplan entwickeln | CMA_C1144 – Sicherheitsbewertungsplan entwickeln | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsbewertungsbericht erstellen | CMA_C1146 – Sicherheitsbewertungsbericht erstellen | Manuell, deaktiviert | 1.1.0 |
Unabhängige Gutachter
ID: FedRAMP Moderate CA-2 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Unabhängige Prüfer für die Durchführung von Sicherheitskontrollbewertungen einsetzen | CMA_C1148 – Unabhängige Prüfer für die Durchführung von Sicherheitskontrollbewertungen einsetzen | Manuell, deaktiviert | 1.1.0 |
Spezialisierte Bewertungen
ID: FedRAMP Moderate CA-2 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Weitere Tests für Sicherheitskontrollbewertungen auswählen | CMA_C1149 – Weitere Tests für Sicherheitskontrollbewertungen auswählen | Manuell, deaktiviert | 1.1.0 |
Externe Organisationen
ID: FedRAMP Moderate CA-2 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Akzeptieren von Bewertungsergebnissen | CMA_C1150: Akzeptieren von Bewertungsergebnissen | Manuell, deaktiviert | 1.1.0 |
Systemverbindungen
ID: FedRAMP Moderate CA-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsvereinbarungen für Zusammenschaltungen anfordern | CMA_C1151 – Sicherheitsvereinbarungen für Zusammenschaltungen anfordern | Manuell, deaktiviert | 1.1.0 |
| Verbindungssicherheitsvereinbarungen aktualisieren | CMA_0519 – Verbindungssicherheitsvereinbarungen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Verbindungen mit nicht klassifizierten, nicht nationalen Sicherheitssystemen
ID: FedRAMP Moderate CA-3 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemgrenzschutz implementieren | CMA_0328 – Systemgrenzschutz implementieren | Manuell, deaktiviert | 1.1.0 |
Einschränkungen für Verbindungen mit externen System
ID: FedRAMP Moderate CA-3 (5) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Anwenden von Einschränkungen für Zusammenschaltung externer Systeme | CMA_C1155: Anwenden von Einschränkungen für Zusammenschaltungen externer Systeme | Manuell, deaktiviert | 1.1.0 |
Aktions- und Meilensteinplan
ID: FedRAMP Moderate CA-5 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| POA&M entwickeln | CMA_C1156 – Entwickeln von POA&M | Manuell, deaktiviert | 1.1.0 |
| POA&M-Elemente aktualisieren | CMA_C1157 – Aktualisieren von POA&M-Elementen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsautorisierung
ID: FedRAMP Moderate CA-6 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Offizielle Autorisierungsperson (AO) zuweisen | CMA_C1158 – Offizielle Autorisierungsperson (AO) zuweisen | Manuell, deaktiviert | 1.1.0 |
| Autorisierung der Ressourcen sicherstellen | CMA_C1159 – Autorisierung der Ressourcen sicherstellen | Manuell, deaktiviert | 1.1.0 |
| Aktualisieren der Sicherheitsautorisierung | CMA_C1160: Aktualisieren der Sicherheitsautorisierung | Manuell, deaktiviert | 1.1.0 |
Kontinuierliche Überwachung
ID: FedRAMP Moderate CA-7 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Whitelist für die Erkennung konfigurieren | CMA_0068 – Whitelist für die Erkennung konfigurieren | Manuell, deaktiviert | 1.1.0 |
| Sensoren für Endpunktsicherheitslösung aktivieren | CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren | Manuell, deaktiviert | 1.1.0 |
| Unabhängige Sicherheitsüberprüfung durchlaufen | CMA_0515 – Unabhängige Sicherheitsüberprüfung durchlaufen | Manuell, deaktiviert | 1.1.0 |
Unabhängige Bewertung
ID: FedRAMP Moderate CA-7 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Einsatz von unabhängigen Prüfern für die kontinuierliche Überwachung | CMA_C1168: Einsatz von unabhängigen Prüfern für die kontinuierliche Überwachung | Manuell, deaktiviert | 1.1.0 |
Unabhängiger Agent oder Team für Penetrationstests
ID: FedRAMP Moderate CA-8 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Unabhängiges Team für Penetrationstests bereitstellen | CMA_C1171 – Unabhängiges Team für Penetrationstests bereitstellen | Manuell, deaktiviert | 1.1.0 |
Interne Systemverbindungen
ID: FedRAMP Moderate CA-9 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Vor dem Einrichten interner Verbindungen auf Datenschutz und Sicherheitskonformität prüfen | CMA_0053 – Vor dem Einrichten interner Verbindungen auf Datenschutz und Sicherheitskonformität prüfen | Manuell, deaktiviert | 1.1.0 |
Konfigurationsverwaltung
Richtlinien und Verfahren für die Konfigurationsverwaltung
ID: FedRAMP Moderate CM-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konfigurationsverwaltungsrichtlinien und -prozeduren überprüfen und aktualisieren | CMA_C1175: Konfigurationsverwaltungsrichtlinien und -prozeduren überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Baselinekonfiguration
ID: FedRAMP Moderate CM-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Aktionen für nicht kompatible Geräte konfigurieren | CMA_0062 – Aktionen für nicht kompatible Geräte konfigurieren | Manuell, deaktiviert | 1.1.0 |
| Basisplankonfigurationen entwickeln und verwalten | CMA_0153 – Basisplankonfigurationen entwickeln und verwalten | Manuell, deaktiviert | 1.1.0 |
| Einstellungen für die Sicherheitskonfiguration erzwingen | CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen | Manuell, deaktiviert | 1.1.0 |
| Konfigurationssteuerungsgremium einrichten | CMA_0254 – Konfigurationssteuerungsgremium einrichten | Manuell, deaktiviert | 1.1.0 |
| Konfigurationsverwaltungsplan einrichten und dokumentieren | CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Tool für die automatisierte Konfigurationsverwaltung implementieren | CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren | Manuell, deaktiviert | 1.1.0 |
Automatisierungsunterstützung für Genauigkeit/Währung
ID: FedRAMP Moderate CM-2 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Aktionen für nicht kompatible Geräte konfigurieren | CMA_0062 – Aktionen für nicht kompatible Geräte konfigurieren | Manuell, deaktiviert | 1.1.0 |
| Basisplankonfigurationen entwickeln und verwalten | CMA_0153 – Basisplankonfigurationen entwickeln und verwalten | Manuell, deaktiviert | 1.1.0 |
| Einstellungen für die Sicherheitskonfiguration erzwingen | CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen | Manuell, deaktiviert | 1.1.0 |
| Konfigurationssteuerungsgremium einrichten | CMA_0254 – Konfigurationssteuerungsgremium einrichten | Manuell, deaktiviert | 1.1.0 |
| Konfigurationsverwaltungsplan einrichten und dokumentieren | CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Tool für die automatisierte Konfigurationsverwaltung implementieren | CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren | Manuell, deaktiviert | 1.1.0 |
Aufbewahrung vorheriger Konfigurationen
ID: FedRAMP Moderate CM-2 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Frühere Versionen von Baseline-Konfigurationen beibehalten | CMA_C1181: Frühere Versionen von Baselinekonfigurationen beibehalten | Manuell, deaktiviert | 1.1.0 |
Konfigurieren von Systemen, Komponenten oder Geräten für Bereiche mit hohem Risiko
ID: FedRAMP Moderate CM-2 (7) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherstellen, dass Sicherheitsvorkehrungen bei der Rückkehr der Personen nicht erforderlich sind | CMA_C1183 –Sicherstellen, dass Sicherheitsvorkehrungen bei der Rückkehr der Personen nicht erforderlich sind | Manuell, deaktiviert | 1.1.0 |
| Keine Begleitung von Informationssystemen durch Einzelpersonen zulassen | CMA_C1182 – Keine Begleitung von Informationssystemen durch Einzelpersonen zulassen | Manuell, deaktiviert | 1.1.0 |
Steuerung von Konfigurationsänderungen
ID: FedRAMP Moderate CM-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsauswirkungsanalyse durchführen | CMA_0057 – Sicherheitsauswirkungsanalyse durchführen | Manuell, deaktiviert | 1.1.0 |
| Standard für Sicherheitsrisikomanagement entwickeln und verwalten | CMA_0152 – Standard für Sicherheitsrisikomanagement entwickeln und verwalten | Manuell, deaktiviert | 1.1.0 |
| Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
| Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Konfigurationsverwaltungsanforderungen für Entwickler einrichten | CMA_0270 – Konfigurationsverwaltungsanforderungen für Entwickler einrichten | Manuell, deaktiviert | 1.1.0 |
| Datenschutzauswirkungsbewertung durchführen | CMA_0387 – Datenschutzauswirkungsbewertung durchführen | Manuell, deaktiviert | 1.1.0 |
| Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
| Überprüfung für Konfigurationsänderungssteuerung ausführen | CMA_0390 – Überprüfung für Konfigurationsänderungssteuerung ausführen | Manuell, deaktiviert | 1.1.0 |
Analyse der Auswirkungen auf die Sicherheit
ID: FedRAMP Moderate CM-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsauswirkungsanalyse durchführen | CMA_0057 – Sicherheitsauswirkungsanalyse durchführen | Manuell, deaktiviert | 1.1.0 |
| Standard für Sicherheitsrisikomanagement entwickeln und verwalten | CMA_0152 – Standard für Sicherheitsrisikomanagement entwickeln und verwalten | Manuell, deaktiviert | 1.1.0 |
| Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
| Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Konfigurationsverwaltungsanforderungen für Entwickler einrichten | CMA_0270 – Konfigurationsverwaltungsanforderungen für Entwickler einrichten | Manuell, deaktiviert | 1.1.0 |
| Datenschutzauswirkungsbewertung durchführen | CMA_0387 – Datenschutzauswirkungsbewertung durchführen | Manuell, deaktiviert | 1.1.0 |
| Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
| Überprüfung für Konfigurationsänderungssteuerung ausführen | CMA_0390 – Überprüfung für Konfigurationsänderungssteuerung ausführen | Manuell, deaktiviert | 1.1.0 |
Zugriffseinschränkungen für Änderungen
ID: FedRAMP Moderate CM-5 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
Automatisierte Zugriffserzwingung und Überwachung
ID: FedRAMP Moderate CM-5 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriffseinschränkungen erzwingen und überwachen | CMA_C1203 – Zugriffseinschränkungen erzwingen und überwachen | Manuell, deaktiviert | 1.1.0 |
Signierte Komponenten
ID: FedRAMP Moderate CM-5 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nicht autorisierte Software- und Firmwareinstallation einschränken | CMA_C1205: Nicht autorisierte Software- und Firmwareinstallation einschränken | Manuell, deaktiviert | 1.1.0 |
Beschränken von Berechtigungen in Bezug auf Produktion/Betrieb
ID: FedRAMP Moderate CM-5 (5) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Berechtigungen zur Vornahme von Änderungen in der Produktionsumgebung beschränken | CMA_C1206 – Berechtigungen zur Vornahme von Änderungen in der Produktionsumgebung beschränken | Manuell, deaktiviert | 1.1.0 |
| Berechtigungen überprüfen und neu bewerten | CMA_C1207 – Berechtigungen überprüfen und neu bewerten | Manuell, deaktiviert | 1.1.0 |
Konfigurationseinstellungen
ID: FedRAMP Moderate CM-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. | Audit, Disabled | 3.1.0-deprecated |
| App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
| Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. | Audit, Disabled | 1.0.2 |
| Einstellungen für die Sicherheitskonfiguration erzwingen | CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen | Manuell, deaktiviert | 1.1.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 2.0.0 |
| CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
| Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
| Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
| Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
| Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.2.0 |
| Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
| Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.2.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
| Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.0.0 |
Automatisierte zentrale Verwaltung, Anwendung und Überprüfung
ID: FedRAMP Moderate CM-6 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Einstellungen für die Sicherheitskonfiguration erzwingen | CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen | Manuell, deaktiviert | 1.1.0 |
| Konformität von Cloud-Dienstanbietern steuern | CMA_0290 – Konformität von Cloud-Dienstanbietern steuern | Manuell, deaktiviert | 1.1.0 |
| Systemdiagnosedaten anzeigen und konfigurieren | CMA_0544 – Systemdiagnosedaten anzeigen und konfigurieren | Manuell, deaktiviert | 1.1.0 |
Mindestfunktionalität
ID: FedRAMP Moderate CM-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
Komponentenbestand des Informationssystems
ID: FedRAMP Moderate CM-8 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Datenbestand erstellen | CMA_0096 – Datenbestand erstellen | Manuell, deaktiviert | 1.1.0 |
| Datensätze zur Verarbeitung personenbezogener Daten verwalten | CMA_0353 – Datensätze zur Verarbeitung personenbezogener Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Updates bei Installationen und Entfernungen
ID: FedRAMP Moderate CM-8 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Datenbestand erstellen | CMA_0096 – Datenbestand erstellen | Manuell, deaktiviert | 1.1.0 |
| Datensätze zur Verarbeitung personenbezogener Daten verwalten | CMA_0353 – Datensätze zur Verarbeitung personenbezogener Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Automatisierte Erkennung von nicht autorisierten Komponenten
ID: FedRAMP Moderate CM-8 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Erkennung von Netzwerkgeräten aktivieren | CMA_0220 – Erkennung von Netzwerkgeräten aktivieren | Manuell, deaktiviert | 1.1.0 |
| Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Konfigurationsverwaltungsplan
ID: FedRAMP Moderate CM-9 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Schutz des Konfigurationsplans erstellen | CMA_C1233 – Schutz des Konfigurationsplans erstellen | Manuell, deaktiviert | 1.1.0 |
| Basisplankonfigurationen entwickeln und verwalten | CMA_0153 – Basisplankonfigurationen entwickeln und verwalten | Manuell, deaktiviert | 1.1.0 |
| Identifikationsplan für Konfigurationselemente entwickeln | CMA_C1231 – Identifikationsplan für Konfigurationselemente entwickeln | Manuell, deaktiviert | 1.1.0 |
| Konfigurationsverwaltungsplan entwickeln | CMA_C1232 – Konfigurationsverwaltungsplan entwickeln | Manuell, deaktiviert | 1.1.0 |
| Konfigurationsverwaltungsplan einrichten und dokumentieren | CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Tool für die automatisierte Konfigurationsverwaltung implementieren | CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren | Manuell, deaktiviert | 1.1.0 |
Einschränkungen für die Softwarenutzung
ID: FedRAMP Moderate CM-10 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konformität von Rechten an geistigem Eigentum anfordern | CMA_0432 – Konformität von Rechten an geistigem Eigentum anfordern | Manuell, deaktiviert | 1.1.0 |
| Nutzung von Softwarelizenzen nachverfolgen | CMA_C1235 – Nutzung von Softwarelizenzen nachverfolgen | Manuell, deaktiviert | 1.1.0 |
Open Source-Software
ID: FedRAMP Moderate CM-10 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Einschränken der Verwendung von Open-Source-Software | CMA_C1237: Einschränken der Verwendung von Open-Source-Software | Manuell, deaktiviert | 1.1.0 |
Notfallplanung
Richtlinien und Verfahren für die Notfallplanung
ID: FedRAMP Moderate CP-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Notfallplanungsrichtlinien und -verfahren überprüfen und aktualisieren | CMA_C1243: Notfallplanungsrichtlinien und -verfahren überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Notfallplan
ID: FedRAMP Moderate CP-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Notfallplanänderungen kommunizieren | CMA_C1249 – Notfallplanänderungen kommunizieren | Manuell, deaktiviert | 1.1.0 |
| Notfallpläne mit zugehörigen Plänen koordinieren | CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren | Manuell, deaktiviert | 1.1.0 |
| Business Continuity & Disaster Recovery entwickeln und dokumentieren | CMA_0146 – Business Continuity & Disaster Recovery entwickeln und dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Notfallplan entwickeln | CMA_C1244 – Notfallplan entwickeln | Manuell, deaktiviert | 1.1.0 |
| Richtlinien und Prozeduren für die Notfallplanung entwickeln | CMA_0156 – Richtlinien und Prozeduren für die Notfallplanung entwickeln | Manuell, deaktiviert | 1.1.0 |
| Richtlinien und Prozeduren verteilen | CMA_0185 – Richtlinien und Prozeduren verteilen | Manuell, deaktiviert | 1.1.0 |
| Notfallplan überprüfen | CMA_C1247 – Notfallplan überprüfen | Manuell, deaktiviert | 1.1.0 |
| Notfallplan aktualisieren | CMA_C1248 – Notfallplan aktualisieren | Manuell, deaktiviert | 1.1.0 |
Koordination mit zugehörigen Plänen
ID: FedRAMP Moderate CP-2 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Notfallpläne mit zugehörigen Plänen koordinieren | CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren | Manuell, deaktiviert | 1.1.0 |
Capacity Planning
ID: FedRAMP Moderate CP-2 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Kapazitätsplanung durchführen | CMA_C1252 – Kapazitätsplanung durchführen | Manuell, deaktiviert | 1.1.0 |
Wiederaufnehmen wesentlicher Organisationsziele/Geschäftsfunktionen
ID: FedRAMP Moderate CP-2 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Wiederaufnahme wichtiger Geschäftsfunktionen planen | CMA_C1253 – Wiederaufnahme wichtiger Geschäftsfunktionen planen | Manuell, deaktiviert | 1.1.0 |
Identifizieren kritischer Ressourcen
ID: FedRAMP Moderate CP-2 (8) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Bewertung der Auswirkungen auf die unternehmens- und anwendungskritische Bewertung ausführen | CMA_0386: Durchführung einer Bewertung der geschäftlichen Auswirkungen und der Wichtigkeit von Anwendungen | Manuell, deaktiviert | 1.1.0 |
Schulungen zu Notfallplänen
ID: FedRAMP Moderate CP-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Notfalltraining bereitstellen | CMA_0412 – Notfalltraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
Notfallplantests
ID: FedRAMP Moderate CP-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Notfallplantests für Korrekturmaßnahmen initiieren | CMA_C1263 – Notfallplantests für Korrekturmaßnahmen initiieren | Manuell, deaktiviert | 1.1.0 |
| Ergebnisse der Notfallplantests überprüfen | CMA_C1262 – Ergebnisse der Notfallplantests überprüfen | Manuell, deaktiviert | 1.1.0 |
| Business Continuity & Disaster Recovery-Plan testen | CMA_0509 – Business Continuity & Disaster Recovery-Plan testen | Manuell, deaktiviert | 1.1.0 |
Koordination mit zugehörigen Plänen
ID: FedRAMP Moderate CP-4 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Notfallpläne mit zugehörigen Plänen koordinieren | CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren | Manuell, deaktiviert | 1.1.0 |
Alternativer Speicherort
ID: FedRAMP Moderate CP-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherstellen, dass die Schutzmaßnahmen des alternativen Speicherorts denjenigen des primären Standorts entsprechen | CMA_C1268 – Sicherstellen, dass die Schutzmaßnahmen des alternativen Speicherorts denjenigen des primären Standorts entsprechen | Manuell, deaktiviert | 1.1.0 |
| Alternativen Speicherstandort zum Speichern und Abrufen von Sicherungsinformationen einrichten | CMA_C1267 – Alternativen Speicherstandort zum Speichern und Abrufen von Sicherungsinformationen einrichten | Manuell, deaktiviert | 1.1.0 |
| Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundanter Speicher muss für Speicherkonten aktiviert sein | Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden | Audit, Disabled | 1.0.0 |
| Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. | AuditIfNotExists, Disabled | 2.0.0 |
Trennung vom primären Standort
ID: FedRAMP Moderate CP-6 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Separate alternative und primäre Speicherstandorte erstellen | CMA_C1269 – Separate alternative und primäre Speicherstandorte erstellen | Manuell, deaktiviert | 1.1.0 |
| Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundanter Speicher muss für Speicherkonten aktiviert sein | Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden | Audit, Disabled | 1.0.0 |
| Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. | AuditIfNotExists, Disabled | 2.0.0 |
Zugriff
ID: FedRAMP Moderate CP-6 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Potenzielle Probleme an einem alternativen Speicherort identifizieren und beheben | CMA_C1271 – Potenzielle Probleme an einem alternativen Speicherort identifizieren und beheben | Manuell, deaktiviert | 1.1.0 |
Alternativer Verarbeitungsstandort
ID: FedRAMP Moderate CP-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Alternativen Verarbeitungsstandort einrichten | CMA_0262 – Alternativen Verarbeitungsstandort einrichten | Manuell, deaktiviert | 1.1.0 |
Trennung vom primären Standort
ID: FedRAMP Moderate CP-7 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alternativen Verarbeitungsstandort einrichten | CMA_0262 – Alternativen Verarbeitungsstandort einrichten | Manuell, deaktiviert | 1.1.0 |
Zugriff
ID: FedRAMP Moderate CP-7 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alternativen Verarbeitungsstandort einrichten | CMA_0262 – Alternativen Verarbeitungsstandort einrichten | Manuell, deaktiviert | 1.1.0 |
Dienstpriorität
ID: FedRAMP Moderate CP-7 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alternativen Verarbeitungsstandort einrichten | CMA_0262 – Alternativen Verarbeitungsstandort einrichten | Manuell, deaktiviert | 1.1.0 |
| Anforderungen für Internetdienstanbieter festlegen | CMA_0278 – Anforderungen für Internetdienstanbieter festlegen | Manuell, deaktiviert | 1.1.0 |
Priorität von Dienstbereitstellungen
ID: FedRAMP Moderate CP-8 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Anforderungen für Internetdienstanbieter festlegen | CMA_0278 – Anforderungen für Internetdienstanbieter festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherung des Informationssystems
ID: FedRAMP Moderate CP-9 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Sicherung der Informationssystemdokumentation durchführen | CMA_C1289 – Sicherung der Informationssystemdokumentation durchführen | Manuell, deaktiviert | 1.1.0 |
| Sicherungsrichtlinien und -prozeduren einrichten | CMA_0268 – Sicherungsrichtlinien und -prozeduren einrichten | Manuell, deaktiviert | 1.1.0 |
| Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
| Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Audit, Deny, Disabled | 2.1.0 |
| Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. | Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. | Audit, Deny, Disabled | 3.0.0 |
Separater Speicher für kritische Daten
ID: FedRAMP Moderate CP-9 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherungsinformationen separat speichern | CMA_C1293 – Sicherungsinformationen separat speichern | Manuell, deaktiviert | 1.1.0 |
Wiederherstellung und Wiederaufbau von Informationssystemen
ID: FedRAMP Moderate CP-10 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ressourcen nach einer Unterbrechung wiederherstellen und neu konfigurieren | CMA_C1295: Ressourcen nach einer Unterbrechung wiederherstellen und neu konfigurieren | Manuell, deaktiviert | 1.1.1 |
Transaktionswiederherstellung
ID: FedRAMP Moderate CP-10 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Transaktionsbasierte Wiederherstellung implementieren | CMA_C1296 – Transaktionsbasierte Wiederherstellung implementieren | Manuell, deaktiviert | 1.1.0 |
Identifizierung und Authentifizierung
Richtlinien und Verfahren für Identifikation und Authentifizierung
ID: FedRAMP Moderate IA-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Identifikations- und Authentifizierungsrichtlinien und -prozeduren überprüfen und aktualisieren | CMA_C1299 – Identifikations- und Authentifizierungsrichtlinien und -prozeduren überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Identifikation und Authentifizierung (Organisationsbenutzer)
ID: FedRAMP Moderate IA-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Benutzereindeutigkeit erzwingen | CMA_0250 – Benutzereindeutigkeit erzwingen | Manuell, deaktiviert | 1.1.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
| Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen | CMA_0507 – Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen | Manuell, deaktiviert | 1.1.0 |
Netzwerkzugriff auf privilegierte Konten
ID: FedRAMP Moderate IA-2 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Netzwerkzugriff auf nicht privilegierte Konten
ID: FedRAMP Moderate IA-2 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Lokaler Zugriff auf privilegierte Konten
ID: FedRAMP Moderate IA-2 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Gruppenauthentifizierung
ID: FedRAMP Moderate IA-2 (5) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verwendung von Einzelauthentifikatoren vorschreiben | CMA_C1305: Verwendung von Einzelauthentifikatoren vorschreiben | Manuell, deaktiviert | 1.1.0 |
Remotezugriff – separates Gerät
ID: FedRAMP Moderate IA-2 (11) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
| Netzwerkgeräte identifizieren und authentifizieren | CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren | Manuell, deaktiviert | 1.1.0 |
Akzeptieren von PIV-Anmeldeinformationen
ID: FedRAMP Moderate IA-2 (12) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen | CMA_0507 – Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen | Manuell, deaktiviert | 1.1.0 |
Bezeichnerverwaltung
ID: FedRAMP Moderate IA-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Systembezeichner zuweisen | CMA_0018 – Systembezeichner zuweisen | Manuell, deaktiviert | 1.1.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Wiederverwendung von Identifikatoren für den festgelegten Zeitraum verhindern | CMA_C1314 – Wiederverwendung von Identifikatoren für den festgelegten Zeitraum verhindern | Manuell, deaktiviert | 1.1.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Identifizieren des Benutzerstatus
ID: FedRAMP Moderate IA-4 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Identifizieren des Status einzelner Benutzer | CMA_C1316: Identifizieren des Status einzelner Benutzer | Manuell, deaktiviert | 1.1.0 |
Authentifikatorverwaltung
ID: FedRAMP Moderate IA-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Disabled | 3.1.0 |
| Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.2.1 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Authentifikator-Typen und -Prozesse einrichten | CMA_0267 – Authentifikator-Typen und -Prozesse einrichten | Manuell, deaktiviert | 1.1.0 |
| Verfahren für die anfängliche Authentifikator-Verteilung einrichten | CMA_0276 – Verfahren für die anfängliche Authentifikator-Verteilung einrichten | Manuell, deaktiviert | 1.1.0 |
| Schulung zum Schutz von Authentifikatoren implementieren | CMA_0329 – Schulung zum Schutz von Authentifikatoren implementieren | Manuell, deaktiviert | 1.1.0 |
| Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. | Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
| Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. | Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
| Authentifikator-Lebensdauer und -Wiederverwendung verwalten | CMA_0355 – Authentifikator-Lebensdauer und -Wiederverwendung verwalten | Manuell, deaktiviert | 1.1.0 |
| Authentifikatoren verwalten | CMA_C1321 – Authentifikatoren verwalten | Manuell, deaktiviert | 1.1.0 |
| Authentifikatoren aktualisieren | CMA_0425 – Authentifikatoren aktualisieren | Manuell, deaktiviert | 1.1.0 |
| Authentifikatoren für geänderte Gruppen und Konten erneut ausstellen | CMA_0426 – Authentifikatoren für geänderte Gruppen und Konten erneut ausstellen | Manuell, deaktiviert | 1.1.0 |
| Identität vor der Verteilung der Authentifikatoren bestätigen | CMA_0538 – Identität vor der Verteilung der Authentifikatoren bestätigen | Manuell, deaktiviert | 1.1.0 |
Kennwortbasierte Authentifizierung
ID: FedRAMP Moderate IA-5 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Disabled | 3.1.0 |
| Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Kennwortrichtlinie einrichten | CMA_0256 – Kennwortrichtlinie einrichten | Manuell, deaktiviert | 1.1.0 |
| Parameter für gespeicherte Geheimnisüberprüfungen implementieren | CMA_0321 – Parameter für gespeicherte Geheimnisüberprüfungen implementieren | Manuell, deaktiviert | 1.1.0 |
| Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
PKI-basierte Authentifizierung
ID: FedRAMP Moderate IA-5 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Authentifikatoren und Identitäten dynamisch binden | CMA_0035: Authentifikatoren und Identitäten dynamisch binden | Manuell, deaktiviert | 1.1.0 |
| Authentifikator-Typen und -Prozesse einrichten | CMA_0267 – Authentifikator-Typen und -Prozesse einrichten | Manuell, deaktiviert | 1.1.0 |
| Parameter für die Suche nach geheimen Authentifikatoren und Verifizierern festlegen | CMA_0274: Parameter für die Suche nach geheimen Authentifikatoren und Verifizierern festlegen | Manuell, deaktiviert | 1.1.0 |
| Verfahren für die anfängliche Authentifikator-Verteilung einrichten | CMA_0276 – Verfahren für die anfängliche Authentifikator-Verteilung einrichten | Manuell, deaktiviert | 1.1.0 |
| Authentifizierte Identitäten Personen zuordnen | CMA_0372: Authentifizierte Identitäten Personen zuordnen | Manuell, deaktiviert | 1.1.0 |
| Zugriff auf private Schlüssel einschränken | CMA_0445 – Zugriff auf private Schlüssel einschränken | Manuell, deaktiviert | 1.1.0 |
| Identität vor der Verteilung der Authentifikatoren bestätigen | CMA_0538 – Identität vor der Verteilung der Authentifikatoren bestätigen | Manuell, deaktiviert | 1.1.0 |
Persönliche Registrierung oder Registrierung über vertrauenswürdige Drittanbieter
ID: FedRAMP Moderate IA-5 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verteilen von Authentifikatoren | CMA_0184: Verteilen von Authentifikatoren | Manuell, deaktiviert | 1.1.0 |
Automatisierte Unterstützung zum Bestimmen der Kennwortsicherheit
ID: FedRAMP Moderate IA-5 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Kennwortrichtlinie einrichten | CMA_0256 – Kennwortrichtlinie einrichten | Manuell, deaktiviert | 1.1.0 |
| Parameter für gespeicherte Geheimnisüberprüfungen implementieren | CMA_0321 – Parameter für gespeicherte Geheimnisüberprüfungen implementieren | Manuell, deaktiviert | 1.1.0 |
Schutz von Authentifikatoren
ID: FedRAMP Moderate IA-5 (6) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherstellen, dass autorisierte Benutzer die bereitgestellten Authentifikatoren schützen | CMA_C1339: Sicherstellen, dass autorisierte Benutzer die bereitgestellten Authentifikatoren schützen | Manuell, deaktiviert | 1.1.0 |
Keine Einbettung unverschlüsselter statischer Authentifikatoren
ID: FedRAMP Moderate IA-5 (7) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherstellen, dass keine unverschlüsselten statischen Authentifikatoren vorhanden sind | CMA_C1340 – Sicherstellen, dass keine unverschlüsselten statischen Authentifikatoren vorhanden sind | Manuell, deaktiviert | 1.1.0 |
Auf Hardwaretoken basierende Authentifizierung
ID: FedRAMP Moderate IA-5 (11) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Tokenqualitätsanforderungen erfüllen | CMA_0487 – Tokenqualitätsanforderungen erfüllen | Manuell, deaktiviert | 1.1.0 |
Authentifikatorrückmeldung
ID: FedRAMP Moderate IA-6 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Feedbackinformationen während des Authentifizierungsprozesses verdecken | CMA_C1344 – Feedbackinformationen während des Authentifizierungsprozesses verdecken | Manuell, deaktiviert | 1.1.0 |
Kryptografiemodulauthentifizierung
ID: FedRAMP Moderate IA-7 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Beim kryptografischen Modul authentifizieren | CMA_0021 – Beim kryptografischen Modul authentifizieren | Manuell, deaktiviert | 1.1.0 |
Identifikation und Authentifizierung (Nicht-Organisationsbenutzer)
ID: FedRAMP Moderate IA-8 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Organisationsexterne Benutzer identifizieren und authentifizieren | CMA_C1346 – Organisationsexterne Benutzer identifizieren und authentifizieren | Manuell, deaktiviert | 1.1.0 |
Akzeptanz von PIV-Anmeldeinformationen von anderen Agenturen
ID: FedRAMP Moderate IA-8 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Akzeptieren von PIV-Anmeldeinformationen | CMA_C1347: Akzeptieren von PIV-Anmeldeinformationen | Manuell, deaktiviert | 1.1.0 |
Akzeptieren von Anmeldeinformationen von Drittanbietern
ID: FedRAMP Moderate IA-8 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nur FICAM-genehmigte Drittanbieteranmeldeinformationen akzeptieren | CMA_C1348: Nur durch FICAM genehmigte Anmeldeinformationen von Drittanbietern akzeptieren | Manuell, deaktiviert | 1.1.0 |
Verwendung von durch FICAM genehmigten Produkten
ID: FedRAMP Moderate IA-8 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verwenden von FICAM-genehmigten Ressourcen zum Akzeptieren von Anmeldeinformationen von Drittanbietern | CMA_C1349: Verwenden von durch FICAM genehmigten Ressourcen zum Akzeptieren von Anmeldeinformationen von Drittanbietern | Manuell, deaktiviert | 1.1.0 |
Verwendung von über FICAM ausgegebenen Profilen
ID: FedRAMP Moderate IA-8 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Übereinstimmen mit von FICAM herausgegebenen Profilen | CMA_C1350: Konformität mit von FICAM herausgegebenen Profilen | Manuell, deaktiviert | 1.1.0 |
Reaktion auf Vorfälle
Richtlinien und Verfahren für die Reaktion auf Vorfälle
ID: FedRAMP Moderate IR-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Richtlinien und Prozeduren zur Reaktion auf Vorfälle überprüfen und aktualisieren | CMA_C1352 – Richtlinien und Prozeduren zur Reaktion auf Vorfälle überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Schulung zur Reaktion auf Vorfälle
ID: FedRAMP Moderate IR-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Training zu Informationslecks bereitstellen | CMA_0413 – Training zu Informationslecks bereitstellen | Manuell, deaktiviert | 1.1.0 |
Tests zur Reaktion auf Vorfälle
ID: FedRAMP Moderate IR-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Testen von Reaktionen auf Vorfälle durchführen | CMA_0060: Durchführung von Tests zur Reaktion auf Vorfälle | Manuell, deaktiviert | 1.1.0 |
| Informationssicherheitsprogramm einrichten | CMA_0263 – Informationssicherheitsprogramm einrichten | Manuell, deaktiviert | 1.1.0 |
| Simulationsangriffe ausführen | CMA_0486: Ausführen von Simulationsangriffen | Manuell, deaktiviert | 1.1.0 |
Koordination mit zugehörigen Plänen
ID: FedRAMP Moderate IR-3 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Testen von Reaktionen auf Vorfälle durchführen | CMA_0060: Durchführung von Tests zur Reaktion auf Vorfälle | Manuell, deaktiviert | 1.1.0 |
| Informationssicherheitsprogramm einrichten | CMA_0263 – Informationssicherheitsprogramm einrichten | Manuell, deaktiviert | 1.1.0 |
| Simulationsangriffe ausführen | CMA_0486: Ausführen von Simulationsangriffen | Manuell, deaktiviert | 1.1.0 |
Behandlung von Vorfällen
ID: FedRAMP Moderate IR-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Informationssicherheitsereignisse bewerten | CMA_0013 – Informationssicherheitsereignisse bewerten | Manuell, deaktiviert | 1.1.0 |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Notfallpläne mit zugehörigen Plänen koordinieren | CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren | Manuell, deaktiviert | 1.1.0 |
| Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsvorkehrungen entwickeln | CMA_0161 – Sicherheitsvorkehrungen entwickeln | Manuell, deaktiviert | 1.1.0 |
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.2.0 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.1.0 |
| Netzwerkschutz aktivieren | CMA_0238 – Netzwerkschutz aktivieren | Manuell, deaktiviert | 1.1.0 |
| Kontaminierte Informationen eliminieren | CMA_0253 – Kontaminierte Informationen eliminieren | Manuell, deaktiviert | 1.1.0 |
| Aktionen als Reaktion auf Informationslecks ausführen | CMA_0281 – Aktionen als Reaktion auf Informationslecks ausführen | Manuell, deaktiviert | 1.1.0 |
| Vorfallbearbeitung implementieren | CMA_0318 – Vorfallbearbeitung implementieren | Manuell, deaktiviert | 1.1.0 |
| Plan zur Reaktion auf Vorfälle beibehalten | CMA_0352 – Plan zur Reaktion auf Vorfälle beibehalten | Manuell, deaktiviert | 1.1.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
| Eingeschränkte Benutzer anzeigen und untersuchen | CMA_0545 – Eingeschränkte Benutzer anzeigen und untersuchen | Manuell, deaktiviert | 1.1.0 |
Automatisierte Prozesse zur Behandlung von Vorfällen
ID: FedRAMP Moderate IR-4 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
| Netzwerkschutz aktivieren | CMA_0238 – Netzwerkschutz aktivieren | Manuell, deaktiviert | 1.1.0 |
| Vorfallbearbeitung implementieren | CMA_0318 – Vorfallbearbeitung implementieren | Manuell, deaktiviert | 1.1.0 |
Überwachen von Vorfällen
ID: FedRAMP Moderate IR-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.2.0 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.1.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Automatisierte Meldung
ID: FedRAMP Moderate IR-6 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Security Operations dokumentieren | CMA_0202 – Security Operations dokumentieren | Manuell, deaktiviert | 1.1.0 |
Unterstützung bei der Reaktion auf Vorfälle
ID: FedRAMP Moderate IR-7 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Security Operations dokumentieren | CMA_0202 – Security Operations dokumentieren | Manuell, deaktiviert | 1.1.0 |
Automatisierungsunterstützung für die Verfügbarkeit von Informationen/Support
ID: FedRAMP Moderate IR-7 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
| Netzwerkschutz aktivieren | CMA_0238 – Netzwerkschutz aktivieren | Manuell, deaktiviert | 1.1.0 |
| Kontaminierte Informationen eliminieren | CMA_0253 – Kontaminierte Informationen eliminieren | Manuell, deaktiviert | 1.1.0 |
| Aktionen als Reaktion auf Informationslecks ausführen | CMA_0281 – Aktionen als Reaktion auf Informationslecks ausführen | Manuell, deaktiviert | 1.1.0 |
| Vorfallbearbeitung implementieren | CMA_0318 – Vorfallbearbeitung implementieren | Manuell, deaktiviert | 1.1.0 |
| Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Eingeschränkte Benutzer anzeigen und untersuchen | CMA_0545 – Eingeschränkte Benutzer anzeigen und untersuchen | Manuell, deaktiviert | 1.1.0 |
Koordination mit externen Anbietern
ID: FedRAMP Moderate IR-7 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Einrichten einer Beziehung zwischen der Funktion zur Reaktion auf Vorfälle und externen Anbietern | CMA_C1376: Einrichten einer Beziehung zwischen der Funktion zur Reaktion auf Vorfälle und externen Anbietern | Manuell, deaktiviert | 1.1.0 |
| Personal für Reaktion auf Vorfälle identifizieren | CMA_0301: Identifizieren von Mitarbeitern für die Reaktion auf Vorfälle | Manuell, deaktiviert | 1.1.0 |
Plan zur Reaktion auf Vorfälle
ID: FedRAMP Moderate IR-8 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Informationssicherheitsereignisse bewerten | CMA_0013 – Informationssicherheitsereignisse bewerten | Manuell, deaktiviert | 1.1.0 |
| Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
| Vorfallbearbeitung implementieren | CMA_0318 – Vorfallbearbeitung implementieren | Manuell, deaktiviert | 1.1.0 |
| Aufzeichnungen von Datensicherheitsverletzungen verwalten | CMA_0351 – Aufzeichnungen von Datensicherheitsverletzungen verwalten | Manuell, deaktiviert | 1.1.0 |
| Plan zur Reaktion auf Vorfälle beibehalten | CMA_0352 – Plan zur Reaktion auf Vorfälle beibehalten | Manuell, deaktiviert | 1.1.0 |
| Plan zur Reaktion auf Vorfälle schützen | CMA_0405 – Plan zur Reaktion auf Vorfälle schützen | Manuell, deaktiviert | 1.1.0 |
Reaktion auf Informationslecks
ID: FedRAMP Moderate IR-9 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
| Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
| Kontaminierte Informationen eliminieren | CMA_0253 – Kontaminierte Informationen eliminieren | Manuell, deaktiviert | 1.1.0 |
| Aktionen als Reaktion auf Informationslecks ausführen | CMA_0281 – Aktionen als Reaktion auf Informationslecks ausführen | Manuell, deaktiviert | 1.1.0 |
| Kontaminierte Systeme und Komponenten identifizieren | CMA_0300: Identifizieren kontaminierter Systeme und Komponenten | Manuell, deaktiviert | 1.1.0 |
| Identifizieren offengelegter Informationen | CMA_0303: Identifizieren offengelegter Informationen | Manuell, deaktiviert | 1.1.0 |
| Isolieren von Informationslecks | CMA_0346: Isolieren von Informationslecks | Manuell, deaktiviert | 1.1.0 |
Zuständiges Personal
ID: FedRAMP Moderate IR-9 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Personal für Reaktion auf Vorfälle identifizieren | CMA_0301: Identifizieren von Mitarbeitern für die Reaktion auf Vorfälle | Manuell, deaktiviert | 1.1.0 |
Training
ID: FedRAMP Moderate IR-9 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Training zu Informationslecks bereitstellen | CMA_0413 – Training zu Informationslecks bereitstellen | Manuell, deaktiviert | 1.1.0 |
Vorgänge nach einem Leck
ID: FedRAMP Moderate IR-9 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Prozeduren zur Reaktion auf Datenlecks entwickeln | CMA_0162: Entwickeln von Verfahren zur Reaktion auf Datenlecks | Manuell, deaktiviert | 1.1.0 |
Offenlegung gegenüber nicht autorisiertem Personal
ID: FedRAMP Moderate IR-9 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsvorkehrungen entwickeln | CMA_0161 – Sicherheitsvorkehrungen entwickeln | Manuell, deaktiviert | 1.1.0 |
Wartung
Richtlinien und Verfahren für die Systemwartung
ID: FedRAMP Moderate MA-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemwartungsrichtlinien und -prozeduren überprüfen und aktualisieren | CMA_C1395 – Systemwartungsrichtlinien und -prozeduren überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Kontrollierte Wartung
ID: FedRAMP Moderate MA-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Wartungs- und Reparaturaktivitäten steuern | CMA_0080 – Wartungs- und Reparaturaktivitäten steuern | Manuell, deaktiviert | 1.1.0 |
| Medienbereinigungsmechanismus verwenden | CMA_0208 – Medienbereinigungsmechanismus verwenden | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
| Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | Manuell, deaktiviert | 1.1.0 |
Wartungswerkzeuge
ID: FedRAMP Moderate MA-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Wartungs- und Reparaturaktivitäten steuern | CMA_0080 – Wartungs- und Reparaturaktivitäten steuern | Manuell, deaktiviert | 1.1.0 |
| Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | Manuell, deaktiviert | 1.1.0 |
Überprüfen der Werkzeuge
ID: FedRAMP Moderate MA-3 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Wartungs- und Reparaturaktivitäten steuern | CMA_0080 – Wartungs- und Reparaturaktivitäten steuern | Manuell, deaktiviert | 1.1.0 |
| Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | Manuell, deaktiviert | 1.1.0 |
Überprüfen von Medien
ID: FedRAMP Moderate MA-3 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Wartungs- und Reparaturaktivitäten steuern | CMA_0080 – Wartungs- und Reparaturaktivitäten steuern | Manuell, deaktiviert | 1.1.0 |
| Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | Manuell, deaktiviert | 1.1.0 |
Vermeidung einer unbefugten Entfernung
ID: FedRAMP Moderate MA-3 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Wartungs- und Reparaturaktivitäten steuern | CMA_0080 – Wartungs- und Reparaturaktivitäten steuern | Manuell, deaktiviert | 1.1.0 |
| Medienbereinigungsmechanismus verwenden | CMA_0208 – Medienbereinigungsmechanismus verwenden | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
| Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | Manuell, deaktiviert | 1.1.0 |
Nichtlokale Wartung
ID: FedRAMP Moderate MA-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | Manuell, deaktiviert | 1.1.0 |
Dokumentieren von nichtlokalen Wartungsaktivitäten
ID: FedRAMP Moderate MA-4 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten | Manuell, deaktiviert | 1.1.0 |
Wartungsmitarbeiter
ID: FedRAMP Moderate MA-5 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Mitarbeiter zur Überwachung nicht autorisierter Wartungsaktivitäten bestimmen | CMA_C1422 – Mitarbeiter zur Überwachung nicht autorisierter Wartungsaktivitäten bestimmen | Manuell, deaktiviert | 1.1.0 |
| Liste der autorisierten Remotewartungsmitarbeiter verwalten | CMA_C1420 – Liste der autorisierten Remotewartungsmitarbeiter verwalten | Manuell, deaktiviert | 1.1.0 |
| Wartungsmitarbeiter verwalten | CMA_C1421 – Wartungsmitarbeiter verwalten | Manuell, deaktiviert | 1.1.0 |
Mitarbeiter ohne entsprechende Zugangsberechtigungen
ID: FedRAMP Moderate MA-5 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Medienbereinigungsmechanismus verwenden | CMA_0208 – Medienbereinigungsmechanismus verwenden | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Rechtzeitige Wartung
ID: FedRAMP Moderate MA-6 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Rechtzeitigen Wartungssupport bieten | CMA_C1425 : Rechtzeitigen Wartungssupport bieten | Manuell, deaktiviert | 1.1.0 |
Medienschutz
Richtlinien und Verfahren zum Medienschutz
ID: FedRAMP Moderate MP-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Richtlinien und Prozeduren für den Medienschutz überprüfen und aktualisieren | CMA_C1427 – Richtlinien und Prozeduren für den Medienschutz überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Medienzugriff
ID: FedRAMP Moderate MP-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Medienkennzeichnung
ID: FedRAMP Moderate MP-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Medienspeicher
ID: FedRAMP Moderate MP-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Medienbereinigungsmechanismus verwenden | CMA_0208 – Medienbereinigungsmechanismus verwenden | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Medientransport
ID: FedRAMP Moderate MP-5 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
| Transport von Ressourcen verwalten | CMA_0370 – Transport von Ressourcen verwalten | Manuell, deaktiviert | 1.1.0 |
Kryptografischer Schutz
ID: FedRAMP Moderate MP-5 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
| Transport von Ressourcen verwalten | CMA_0370 – Transport von Ressourcen verwalten | Manuell, deaktiviert | 1.1.0 |
Medienbereinigung
ID: FedRAMP Moderate MP-6 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Medienbereinigungsmechanismus verwenden | CMA_0208 – Medienbereinigungsmechanismus verwenden | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Testen von Arbeitsgeräten
ID: FedRAMP Moderate MP-6 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Medienbereinigungsmechanismus verwenden | CMA_0208 – Medienbereinigungsmechanismus verwenden | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Verwenden von Medien
ID: FedRAMP Moderate MP-7 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
| Verwendung tragbarer Speichergeräte steuern | CMA_0083 – Verwendung tragbarer Speichergeräte steuern | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
| Medienverwendung einschränken | CMA_0450 – Medienverwendung einschränken | Manuell, deaktiviert | 1.1.0 |
Verhindern der Verwendung ohne Besitzer
ID: FedRAMP Moderate MP-7 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
| Verwendung tragbarer Speichergeräte steuern | CMA_0083 – Verwendung tragbarer Speichergeräte steuern | Manuell, deaktiviert | 1.1.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
| Medienverwendung einschränken | CMA_0450 – Medienverwendung einschränken | Manuell, deaktiviert | 1.1.0 |
Physischer Schutz und Schutz der Umgebung
Richtlinien und Verfahren für den physischen Schutz und Schutz der Umgebung
ID: FedRAMP Moderate PE-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physische und umweltbezogene Richtlinien und Verfahren überprüfen und aktualisieren | CMA_C1446 – Physische und umweltbezogene Richtlinien und Verfahren überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Autorisierungen für physischen Zugriff
ID: FedRAMP Moderate PE-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Steuerung des physischen Zugriffs
ID: FedRAMP Moderate PE-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
| Verwaltungsprozess physischer Schlüssel definieren | CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren | Manuell, deaktiviert | 1.1.0 |
| Ressourcenbestand einrichten und verwalten | CMA_0266 – Ressourcenbestand einrichten und verwalten | Manuell, deaktiviert | 1.1.0 |
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Zugriffssteuerung für Übertragungsmedium
ID: FedRAMP Moderate PE-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Zugriffssteuerung für Ausgabegeräte
ID: FedRAMP Moderate PE-5 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
| Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Eindringalarme/Überwachungsgeräte
ID: FedRAMP Moderate PE-6 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alarmsystem installieren | CMA_0338 – Alarmsystem installieren | Manuell, deaktiviert | 1.1.0 |
| Sicheres Überwachungskamerasystem verwalten | CMA_0354 – Sicheres Überwachungskamerasystem verwalten | Manuell, deaktiviert | 1.1.0 |
Datensätze von Besucherzugriffen
ID: FedRAMP Moderate PE-8 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Notbeleuchtung
ID: FedRAMP Moderate PE-12 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Automatische Notbeleuchtung verwenden | CMA_0209 – Automatische Notbeleuchtung verwenden | Manuell, deaktiviert | 1.1.0 |
Brandschutz
ID: FedRAMP Moderate PE-13 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Bekämpfungsgeräte/-systeme
ID: FedRAMP Moderate PE-13 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Automatische Brandbekämpfung
ID: FedRAMP Moderate PE-13 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Temperatur- und Feuchtigkeitskontrollen
ID: FedRAMP Moderate PE-14 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Überwachung mit Alarmen/Benachrichtigungen
ID: FedRAMP Moderate PE-14 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
| Alarmsystem installieren | CMA_0338 – Alarmsystem installieren | Manuell, deaktiviert | 1.1.0 |
Wasserschadenschutz
ID: FedRAMP Moderate PE-15 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Lieferung und Entfernung
ID: FedRAMP Moderate PE-16 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Anforderungen für die Verwaltung von Ressourcen definieren | CMA_0125 – Anforderungen für die Verwaltung von Ressourcen definieren | Manuell, deaktiviert | 1.1.0 |
| Transport von Ressourcen verwalten | CMA_0370 – Transport von Ressourcen verwalten | Manuell, deaktiviert | 1.1.0 |
Alternativer Arbeitsort
ID: FedRAMP Moderate PE-17 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | Manuell, deaktiviert | 1.1.0 |
Planung
Richtlinien und Verfahren für die Sicherheitsplanung
ID: FedRAMP Moderate PL-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Planungsrichtlinien und -prozeduren überprüfen und aktualisieren | CMA_C1491– Planungsrichtlinien und -prozeduren überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Systemsicherheitsplan
ID: FedRAMP Moderate PL-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemsicherheitsplan entwickeln und einrichten | CMA_0151 – Systemsicherheitsplan entwickeln und einrichten | Manuell, deaktiviert | 1.1.0 |
| Informationssicherheitsrichtlinien und -prozeduren entwickeln | CMA_0158 – Informationssicherheitsrichtlinien und -prozeduren entwickeln | Manuell, deaktiviert | 1.1.0 |
| SSP entwickeln, das Kriterien erfüllt | CMA_C1492 – SSP entwickeln, das Kriterien erfüllt | Manuell, deaktiviert | 1.1.0 |
| Datenschutzprogramm einrichten | CMA_0257 – Datenschutzprogramm einrichten | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | Manuell, deaktiviert | 1.1.0 |
Planen/Koordinieren mit anderen Organisationsentitäten
ID: FedRAMP Moderate PL-2 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemsicherheitsplan entwickeln und einrichten | CMA_0151 – Systemsicherheitsplan entwickeln und einrichten | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | Manuell, deaktiviert | 1.1.0 |
Verhaltensregeln
ID: FedRAMP Moderate PL-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | Manuell, deaktiviert | 1.1.0 |
| Verhaltensregeln der Organisation entwickeln | CMA_0159 – Verhaltensregeln der Organisation entwickeln | Manuell, deaktiviert | 1.1.0 |
| Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren | CMA_0193 – Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Verhaltensregeln und Zugriffsvereinbarungen erzwingen | CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen | Manuell, deaktiviert | 1.1.0 |
| Unfaire Praktiken verbieten | CMA_0396 – Unfaire Praktiken verbieten | Manuell, deaktiviert | 1.1.0 |
| Überarbeitete Verhaltensregeln überprüfen und unterzeichnen | CMA_0465 – Überarbeitete Verhaltensregeln überprüfen und unterzeichnen | Manuell, deaktiviert | 1.1.0 |
| Informationssicherheitsrichtlinien aktualisieren | CMA_0518 – Informationssicherheitsrichtlinien aktualisieren | Manuell, deaktiviert | 1.1.0 |
| Verhaltensregeln und Zugriffsvereinbarungen aktualisieren | CMA_0521 – Verhaltensregeln und Zugriffsvereinbarungen aktualisieren | Manuell, deaktiviert | 1.1.0 |
| Verhaltensregeln und Zugriffsvereinbarungen alle 3 Jahre aktualisieren | CMA_0522 – Verhaltensregeln und Zugriffsvereinbarungen alle 3 Jahre aktualisieren | Manuell, deaktiviert | 1.1.0 |
Einschränkungen für soziale Medien und Networking
ID: FedRAMP Moderate PL-4 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | Manuell, deaktiviert | 1.1.0 |
Informationssicherheitsarchitektur
ID: FedRAMP Moderate PL-8 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Betriebskonzept (CONOPS) entwickeln | CMA_0141 – Betriebskonzept (CONOPS) entwickeln | Manuell, deaktiviert | 1.1.0 |
| Informationssicherheitsarchitektur überprüfen und aktualisieren | CMA_C1504 – Informationssicherheitsarchitektur überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Personalsicherheit
Richtlinien und Verfahren für die Personalsicherheit
ID: FedRAMP Moderate PS-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsrichtlinien und -prozeduren für Mitarbeiter überprüfen und aktualisieren | CMA_C1507 – Sicherheitsrichtlinien und -prozeduren für Mitarbeiter überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Risikobezeichnung für Position
ID: FedRAMP Moderate PS-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zuweisen von Risikobezeichnungen | CMA_0016: Zuweisen von Risikobezeichnungen | Manuell, deaktiviert | 1.1.0 |
Personalscreening
ID: FedRAMP Moderate PS-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Personal mit Zugriff auf klassifizierte Informationen löschen | CMA_0054 – Personal mit Zugriff auf klassifizierte Informationen löschen | Manuell, deaktiviert | 1.1.0 |
| Personalscreening implementieren | CMA_0322 – Personalscreening implementieren | Manuell, deaktiviert | 1.1.0 |
| Einzelpersonen mit definierter Häufigkeit erneut überprüfen | CMA_C1512 – Einzelpersonen mit definierter Häufigkeit erneut überprüfen | Manuell, deaktiviert | 1.1.0 |
Informationen mit besonderen Schutzmaßnahmen
ID: FedRAMP Moderate PS-3 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
Beendigung des Mitarbeiterverhältnisses
ID: FedRAMP Moderate PS-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nach Beendigung Gespräch über das Ausscheiden führen | CMA_0058 – Nach Beendigung Gespräch über das Ausscheiden führen | Manuell, deaktiviert | 1.1.0 |
| Authentifikatoren bei Beendigung deaktivieren | CMA_0169 – Authentifikatoren bei Beendigung deaktivieren | Manuell, deaktiviert | 1.1.0 |
| Bei Kündigung oder Wechsel benachrichtigen | CMA_0381 – Bei Kündigung oder Wechsel benachrichtigen | Manuell, deaktiviert | 1.1.0 |
| Vor Datendiebstahl durch ausscheidende Mitarbeiter schützen und diesen verhindern | CMA_0398 – Vor Datendiebstahl durch ausscheidende Mitarbeiter schützen und diesen verhindern | Manuell, deaktiviert | 1.1.0 |
| Daten von gekündigten Benutzern aufbewahren | CMA_0455 – Daten von gekündigten Benutzern aufbewahren | Manuell, deaktiviert | 1.1.0 |
Personalübertragung
ID: FedRAMP Moderate PS-5 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Aktionen zum Wechseln oder Neuzuweisen initiieren | CMA_0333 – Aktionen zum Wechseln oder Neuzuweisen initiieren | Manuell, deaktiviert | 1.1.0 |
| Zugriffsberechtigungen bei Personalwechsel ändern | CMA_0374 – Zugriffsberechtigungen bei Personalwechsel ändern | Manuell, deaktiviert | 1.1.0 |
| Bei Kündigung oder Wechsel benachrichtigen | CMA_0381 – Bei Kündigung oder Wechsel benachrichtigen | Manuell, deaktiviert | 1.1.0 |
| Zugriff bei Personalwechsel neu bewerten | CMA_0424 – Zugriff bei Personalwechsel neu bewerten | Manuell, deaktiviert | 1.1.0 |
Zugriffsvereinbarungen
ID: FedRAMP Moderate PS-6 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Organisationszugriffsvereinbarungen dokumentieren | CMA_0192 – Organisationszugriffsvereinbarungen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Verhaltensregeln und Zugriffsvereinbarungen erzwingen | CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen | Manuell, deaktiviert | 1.1.0 |
| Rechtzeitige Unterzeichnung oder erneute Unterzeichnung von Zugriffsvereinbarungen sicherstellen | CMA_C1528 – Rechtzeitige Unterzeichnung oder erneute Unterzeichnung von Zugriffsvereinbarungen sicherstellen | Manuell, deaktiviert | 1.1.0 |
| Benutzer zum Unterzeichnen der Zugriffsvereinbarung auffordern | CMA_0440 – Benutzer zum Unterzeichnen der Zugriffsvereinbarung auffordern | Manuell, deaktiviert | 1.1.0 |
| Organisationszugriffsvereinbarungen aktualisieren | CMA_0520 – Organisationszugriffsvereinbarungen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Personalsicherheit von Dritten
ID: FedRAMP Moderate PS-7 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsanforderungen für Mitarbeiter von Drittanbietern dokumentieren | CMA_C1531 – Sicherheitsanforderungen für Mitarbeiter von Drittanbietern dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsanforderungen für Mitarbeiter von Drittanbietern einrichten | CMA_C1529 – Öffentliche Verfügbarkeit der Informationen zum Datenschutzprogramm sicherstellen | Manuell, deaktiviert | 1.1.0 |
| Drittanbieterkonformität überwachen | CMA_C1533 – Drittanbieterkonformität überwachen | Manuell, deaktiviert | 1.1.0 |
| Benachrichtigung über die Versetzung oder Kündigung von Mitarbeitern von Drittanbietern anfordern | CMA_C1532 – Benachrichtigung über die Versetzung oder Kündigung von Mitarbeitern von Drittanbietern anfordern | Manuell, deaktiviert | 1.1.0 |
| Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern | CMA_C1530 – Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern | Manuell, deaktiviert | 1.1.0 |
Personalsanktionen
ID: FedRAMP Moderate PS-8 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Formelle Sanktionsprozesse implementieren | CMA_0317 – Formelle Sanktionsprozesse implementieren | Manuell, deaktiviert | 1.1.0 |
| Mitarbeiter über Sanktionen benachrichtigen | CMA_0380 – Mitarbeiter über Sanktionen benachrichtigen | Manuell, deaktiviert | 1.1.0 |
Risikobewertung
Richtlinien und Verfahren für die Risikobewertung
ID: FedRAMP Moderate RA-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Risikobewertungsrichtlinien und -prozeduren überprüfen und aktualisieren | CMA_C1537 – Risikobewertungsrichtlinien und -prozeduren überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitskategorisierung
ID: FedRAMP Moderate RA-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Informationen kategorisieren | CMA_0052 – Informationen kategorisieren | Manuell, deaktiviert | 1.1.0 |
| Geschäftsklassifizierungsschemas entwickeln | CMA_0155 – Geschäftsklassifizierungsschemas entwickeln | Manuell, deaktiviert | 1.1.0 |
| Genehmigung der Sicherheitskategorisierung sicherstellen | CMA_C1540 – Genehmigung der Sicherheitskategorisierung sicherstellen | Manuell, deaktiviert | 1.1.0 |
| Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
Risikobewertung
ID: FedRAMP Moderate RA-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Risikobewertung durchführen | CMA_C1543 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
| Risikobewertung durchführen und Ergebnisse verteilen | CMA_C1544 – Risikobewertung durchführen und Ergebnisse verteilen | Manuell, deaktiviert | 1.1.0 |
| Risikobewertung durchführen und Ergebnisse dokumentieren | CMA_C1542 – Risikobewertung durchführen und Ergebnisse dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
Überprüfung auf Sicherheitsrisiken
ID: FedRAMP Moderate RA-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
| Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
| Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Disabled | 1.0.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
| Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
| Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein | Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren. | AuditIfNotExists, Disabled | 1.0.0 |
Update von Toolfunktionen
ID: FedRAMP Moderate RA-5 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Aktualisierung nach Häufigkeit/vor neuer Überprüfung/bei Identifikation
ID: FedRAMP Moderate RA-5 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Umfang/Abdeckungstiefe
ID: FedRAMP Moderate RA-5 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Privilegierter Zugriff
ID: FedRAMP Moderate RA-5 (5) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Implementierung eines privilegierten Zugangs für die Durchführung von Schwachstellen-Scans | CMA_C1555: Implementieren eines privilegierten Zugriffs für die Durchführung von Schwachstellen-Scans | Manuell, deaktiviert | 1.1.0 |
Automatisierte Trendanalysen
ID: FedRAMP Moderate RA-5 (6) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsschwächen beobachten und melden | CMA_0384: Beobachten und Melden von Sicherheitsschwächen | Manuell, deaktiviert | 1.1.0 |
| Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Durchführen der Bedrohungsmodellierung | CMA_0392: Durchführen der Bedrohungsmodellierung | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Auswerten der historischen Überwachungsprotokolle
ID: FedRAMP Moderate RA-5 (8) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
| Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
| Überwachungsdatensätze korrelieren | CMA_0087 – Überwachungsdatensätze korrelieren | Manuell, deaktiviert | 1.1.0 |
| Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
| Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen | CMA_0277 – Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen | Manuell, deaktiviert | 1.1.0 |
| Überprüfung, Analyse und Berichterstellung der Überwachung integrieren | CMA_0339 – Überprüfung, Analyse und Berichterstellung der Überwachung integrieren | Manuell, deaktiviert | 1.1.0 |
| Cloud App Security in SIEM integrieren | CMA_0340 – Cloud App Security in SIEM integrieren | Manuell, deaktiviert | 1.1.0 |
| Kontobereitstellungsprotokolle überprüfen | CMA_0460 – Kontobereitstellungsprotokolle überprüfen | Manuell, deaktiviert | 1.1.0 |
| Administratorzuweisungen wöchentlich überprüfen | CMA_0461 – Administratorzuweisungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
| Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
| Übersicht über den Cloud-Identitätsbericht überprüfen | CMA_0468 – Übersicht über den Cloud-Identitätsbericht überprüfen | Manuell, deaktiviert | 1.1.0 |
| Überwachte Ordnerzugriffsereignisse überprüfen | CMA_0471 – Überwachte Ordnerzugriffsereignisse überprüfen | Manuell, deaktiviert | 1.1.0 |
| Exploit-Schutzereignisse überprüfen | CMA_0472: Exploit-Schutz-Ereignisse überprüfen | Manuell, deaktiviert | 1.1.0 |
| Datei- und Ordneraktivitäten überprüfen | CMA_0473 – Datei- und Ordneraktivitäten überprüfen | Manuell, deaktiviert | 1.1.0 |
| Rollengruppenänderungen wöchentlich überprüfen | CMA_0476 – Rollengruppenänderungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
System- und Diensterwerb
Richtlinien und Verfahren für den System- und Diensterwerb
ID: FedRAMP Moderate SA-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| System- und Dienstabrufsrichtlinien und -prozeduren überprüfen und aktualisieren | CMA_C1560 – System- und Dienstabrufsrichtlinien und -prozeduren überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Zuordnung von Ressourcen
ID: FedRAMP Moderate SA-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Geschäftsziele und IT-Ziele ausrichten | CMA_0008 – Geschäftsziele und IT-Ziele ausrichten | Manuell, deaktiviert | 1.1.0 |
| Ressourcen bei der Ermittlung der Anforderungen an das Informationssystem zuweisen | CMA_C1561 – Ressourcen bei der Ermittlung der Anforderungen an das Informationssystem zuweisen | Manuell, deaktiviert | 1.1.0 |
| Separaten Posten in der Budgetierungsdokumentation einrichten | CMA_C1563 – Separaten Posten in der Budgetierungsdokumentation einrichten | Manuell, deaktiviert | 1.1.0 |
| Datenschutzprogramm einrichten | CMA_0257 – Datenschutzprogramm einrichten | Manuell, deaktiviert | 1.1.0 |
| Ressourcenzuteilung steuern | CMA_0293 – Ressourcenzuteilung steuern | Manuell, deaktiviert | 1.1.0 |
| Engagement von Führungskräften sicherstellen | CMA_0489 – Engagement von Führungskräften sicherstellen | Manuell, deaktiviert | 1.1.0 |
Lebenszyklus der Systementwicklung
ID: FedRAMP Moderate SA-3 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Informationssicherheitsrollen und Zuständigkeiten definieren | CMA_C1565 – Informationssicherheitsrollen und Zuständigkeiten definieren | Manuell, deaktiviert | 1.1.0 |
| Personen mit Sicherheitsrollen und -zuständigkeiten identifizieren | CMA_C1566: Personen mit Sicherheitsrollen und -zuständigkeiten identifizieren | Manuell, deaktiviert | 1.1.1 |
| Risikomanagementprozess in SDLC integrieren | CMA_C1567 – Risikomanagementprozess in SDLC integrieren | Manuell, deaktiviert | 1.1.0 |
Erwerbsverfahren
ID: FedRAMP Moderate SA-4 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Vertragliche Lieferantenverpflichtungen festlegen | CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen | Manuell, deaktiviert | 1.1.0 |
| Akzeptanzkriterien für Kaufverträge dokumentieren | CMA_0187 – Akzeptanzkriterien für Kaufverträge dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Schutz personenbezogener Daten in Kaufverträgen dokumentieren | CMA_0194 – Schutz personenbezogener Daten in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | CMA_0195 – Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | CMA_0197 – Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | CMA_0199 – Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | CMA_0200 – Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | CMA_0201 – Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Umgebung des Informationssystems in Kaufverträgen dokumentieren | CMA_0205 – Umgebung des Informationssystems in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | CMA_0207 – Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | Manuell, deaktiviert | 1.1.0 |
Funktionale Eigenschaften von Sicherheitskontrollen
ID: FedRAMP Moderate SA-4 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Abrufen funktionaler Eigenschaften von Sicherheitskontrollen | CMA_C1575: Abrufen funktionaler Eigenschaften von Sicherheitskontrollen | Manuell, deaktiviert | 1.1.0 |
Design-/Implementierungsinformationen für Sicherheitskontrollen
ID: FedRAMP Moderate SA-4 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Entwurfs- und Implementierungsinformationen für die Sicherheitskontrollen abrufen | CMA_C1576: Entwurfs- und Implementierungsinformationen für die Sicherheitskontrollen abrufen | Manuell, deaktiviert | 1.1.1 |
Plan zur kontinuierlichen Überwachung
ID: FedRAMP Moderate SA-4 (8) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Einholen eines Plans für die fortlaufende Überwachung für Sicherheitskontrollen | CMA_C1577: Abrufen eines Plans für die fortlaufende Überwachung für Sicherheitskontrollen | Manuell, deaktiviert | 1.1.0 |
Verwendete Funktionen/Ports/Protokolle/Dienste
ID: FedRAMP Moderate SA-4 (9) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Entwickler müssen SDLC-Ports, -Protokolle und -Dienste identifizieren | CMA_C1578: Entwickler müssen SDLC-Ports, -Protokolle und -Dienste identifizieren | Manuell, deaktiviert | 1.1.0 |
Verwenden genehmigter PIV-Produkte
ID: FedRAMP Moderate SA-4 (10) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verwenden von FIPS 201-genehmigter Technologie für PIV | CMA_C1579: Verwenden von FIPS 201-genehmigter Technologie für PIV | Manuell, deaktiviert | 1.1.0 |
Dokumentation des Informationssystems
ID: FedRAMP Moderate SA-5 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Dokumentation des Informationssystems verteilen | CMA_C1584 – Dokumentation des Informationssystems verteilen | Manuell, deaktiviert | 1.1.0 |
| Kundendefinierte Maßnahmen dokumentieren | CMA_C1582 – Kundendefinierte Maßnahmen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Administratordokumentation abrufen | CMA_C1580 – Administratordokumentation abrufen | Manuell, deaktiviert | 1.1.0 |
| Dokumentation zur Benutzersicherheitsfunktion abrufen | CMA_C1581 – Dokumentation zur Benutzersicherheitsfunktion abrufen | Manuell, deaktiviert | 1.1.0 |
| Administrator- und Benutzerdokumentation schützen | CMA_C1583 – Administrator- und Benutzerdokumentation schützen | Manuell, deaktiviert | 1.1.0 |
Externe Informationssystemdienste
ID: FedRAMP Moderate SA-9 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Behördliche Aufsicht definieren und dokumentieren | CMA_C1587 – Behördliche Aufsicht definieren und dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Externe Dienstanbieter zur Einhaltung von Sicherheitsanforderungen verpflichten | CMA_C1586 – Externe Dienstanbieter zur Einhaltung von Sicherheitsanforderungen verpflichten | Manuell, deaktiviert | 1.1.0 |
| Konformität des Cloud-Dienstanbieters mit Richtlinien und Verträgen überprüfen | CMA_0469: Konformität des Cloud-Dienstanbieters mit Richtlinien und Vereinbarungen überprüfen | Manuell, deaktiviert | 1.1.0 |
| Unabhängige Sicherheitsüberprüfung durchlaufen | CMA_0515 – Unabhängige Sicherheitsüberprüfung durchlaufen | Manuell, deaktiviert | 1.1.0 |
Risikobewertungen/Organisationsgenehmigungen
ID: FedRAMP Moderate SA-9 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Risiko in Drittanbieterbeziehungen bewerten | CMA_0014 – Risiko in Drittanbieterbeziehungen bewerten | Manuell, deaktiviert | 1.1.0 |
| Einholen von Genehmigungen für Übernahmen und Outsourcing | CMA_C1590: Abrufen von Genehmigungen für Erwerb und Outsourcing | Manuell, deaktiviert | 1.1.0 |
Identifikation von Funktionen/Ports/Protokollen/Diensten
ID: FedRAMP Moderate SA-9 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Externe Dienstanbieter identifizieren | CMA_C1591 – Externe Dienstanbieter identifizieren | Manuell, deaktiviert | 1.1.0 |
Konsistente Interessen von Consumern und Anbietern
ID: FedRAMP Moderate SA-9 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherstellen, dass externe Anbieter die Interessen der Kunden konsistent erfüllen | CMA_C1592: Sicherstellen, dass externe Anbieter die Interessen der Kunden konsistent erfüllen | Manuell, deaktiviert | 1.1.0 |
Verarbeitungs-, Speicher- und Dienstort
ID: FedRAMP Moderate SA-9 (5) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Einschränken des Standorts der Informationsverarbeitung, -speicherung und -dienste | CMA_C1593: Einschränken des Standorts der Informationsverarbeitung, -speicherung und -dienste | Manuell, deaktiviert | 1.1.0 |
Konfigurationsverwaltung durch Entwickler
ID: FedRAMP Moderate SA-10 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Auf Sicherheitsrisiken bei der Codierung eingehen | CMA_0003 – Auf Sicherheitsrisiken bei der Codierung eingehen | Manuell, deaktiviert | 1.1.0 |
| Anwendungssicherheitsanforderungen entwickeln und dokumentieren | CMA_0148 – Anwendungssicherheitsanforderungen entwickeln und dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Umgebung des Informationssystems in Kaufverträgen dokumentieren | CMA_0205 – Umgebung des Informationssystems in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Sicheres Softwareentwicklungsprogramm einrichten | CMA_0259 – Sicheres Softwareentwicklungsprogramm einrichten | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
| Entwickler verpflichten, genehmigte Änderungen und potenzielle Auswirkungen zu dokumentieren | CMA_C1597 – Entwickler verpflichten, genehmigte Änderungen und potenzielle Auswirkungen zu dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Entwickler verpflichten, nur genehmigte Änderungen zu implementieren | CMA_C1596 – Entwickler verpflichten, nur genehmigte Änderungen zu implementieren | Manuell, deaktiviert | 1.1.0 |
| Entwickler verpflichten, die Änderungsintegrität zu verwalten | CMA_C1595 – Entwickler verpflichten, die Änderungsintegrität zu verwalten | Manuell, deaktiviert | 1.1.0 |
Integritätsprüfung für Software/Firmware
ID: FedRAMP Moderate SA-10 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Software-, Firmware- und Informationsintegrität bestätigen | CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen | Manuell, deaktiviert | 1.1.0 |
Entwickler-Sicherheitstests und -Bewertung
ID: FedRAMP Moderate SA-11 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
| Produktion von Nachweisen für die Ausführung des Sicherheitsbewertungsplans durch Entwickler anfordern | CMA_C1602 – Produktion von Nachweisen für die Ausführung des Sicherheitsbewertungsplans durch Entwickler anfordern | Manuell, deaktiviert | 1.1.0 |
System- und Kommunikationsschutz
Richtlinien und Verfahren für den System- und Kommunikationsschutz
ID: FedRAMP Moderate SC-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Richtlinien und Verfahren für den System- und Kommunikationsschutz überprüfen und aktualisieren | CMA_C1616 – Richtlinien und Verfahren für den System- und Kommunikationsschutz überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Anwendungspartitionierung
ID: FedRAMP Moderate SC-2 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Remotezugriff autorisieren | CMA_0024 – Remotezugriff autorisieren | Manuell, deaktiviert | 1.1.0 |
| Benutzer- und Informationssystem-Verwaltungsfunktionalität trennen | CMA_0493 – Benutzer- und Informationssystem-Verwaltungsfunktionalität trennen | Manuell, deaktiviert | 1.1.0 |
| Dedizierte Computer für administrative Aufgaben verwenden | CMA_0527 – Dedizierte Computer für administrative Aufgaben verwenden | Manuell, deaktiviert | 1.1.0 |
Schutz vor Denial-of-Service-Angriffen
ID: FedRAMP Moderate SC-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection sollte aktiviert sein. | DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
| DDoS-Reaktionsplan entwickeln und dokumentieren | CMA_0147: DDoS-Reaktionsplan entwickeln und dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
Ressourcenverfügbarkeit
ID: FedRAMP Moderate SC-6 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ressourcenzuteilung steuern | CMA_0293 – Ressourcenzuteilung steuern | Manuell, deaktiviert | 1.1.0 |
| Verwalten von Verfügbarkeit und Kapazität | CMA_0356: Verwalten von Verfügbarkeit und Kapazität | Manuell, deaktiviert | 1.1.0 |
| Engagement von Führungskräften sicherstellen | CMA_0489 – Engagement von Führungskräften sicherstellen | Manuell, deaktiviert | 1.1.0 |
Schutz von Grenzen
ID: FedRAMP Moderate SC-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-veraltet |
| [Veraltet] Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-deprecated |
| [Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten | Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.0-preview |
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
| API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.1 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
| Azure API for FHIR sollte einen privaten Link verwenden | Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. | Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
| Der Azure Web PubSub-Dienst muss Private Link verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Systemgrenzschutz implementieren | CMA_0328 – Systemgrenzschutz implementieren | Manuell, deaktiviert | 1.1.0 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Privater Endpunkt muss für MariaDB-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für MySQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
| Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 2.0.1 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
| Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
Zugriffspunkte
ID: FedRAMP Moderate SC-7 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.1-veraltet |
| [Veraltet] Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.1-deprecated |
| [Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten | Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.0-preview |
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
| API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.1 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
| Azure API for FHIR sollte einen privaten Link verwenden | Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. | Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
| Der Azure Web PubSub-Dienst muss Private Link verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Privater Endpunkt muss für MariaDB-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für MySQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
| Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 2.0.1 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
| Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
Externe Telekommunikationsdienste
ID: FedRAMP Moderate SC-7 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verwaltete Schnittstelle für jeden externen Dienst implementieren | CMA_C1626 – Verwaltete Schnittstelle für jeden externen Dienst implementieren | Manuell, deaktiviert | 1.1.0 |
| Systemgrenzschutz implementieren | CMA_0328 – Systemgrenzschutz implementieren | Manuell, deaktiviert | 1.1.0 |
| Schnittstelle zu externen Systemen schützen | CMA_0491: Schnittstelle zu externen Systemen schützen | Manuell, deaktiviert | 1.1.0 |
Unterbinden von getrenntem Tunneln für Remote-Geräte
ID: FedRAMP Moderate SC-7 (7) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Geteiltes Tunneln für Remotegeräte unterbinden | CMA_C1632 – Geteiltes Tunneln für Remotegeräte unterbinden | Manuell, deaktiviert | 1.1.0 |
Weiterleiten von Datenverkehr an authentifizierte Proxyserver
ID: FedRAMP Moderate SC-7 (8) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Weiterleiten von Datenverkehr über ein authentifiziertes Proxynetzwerk | CMA_C1633: Weiterleiten von Datenverkehr über ein authentifiziertes Proxynetzwerk | Manuell, deaktiviert | 1.1.0 |
Hostbasierter Schutz
ID: FedRAMP Moderate SC-7 (12) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemgrenzschutz implementieren | CMA_0328 – Systemgrenzschutz implementieren | Manuell, deaktiviert | 1.1.0 |
Isolation von Sicherheitstools, -mechanismen und unterstützenden Komponenten
ID: FedRAMP Moderate SC-7 (13) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Isolieren von SecurID-Systemen, Verwaltungssystemen für Sicherheitsvorfälle | CMA_C1636: Isolieren von SecurID-Systemen, Verwaltungssystemen für Sicherheitsvorfälle | Manuell, deaktiviert | 1.1.0 |
Ausfallschutz
ID: FedRAMP Moderate SC-7 (18) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemgrenzschutz implementieren | CMA_0328 – Systemgrenzschutz implementieren | Manuell, deaktiviert | 1.1.0 |
| Übertragungen zwischen Standby- und aktiven Systemkomponenten verwalten | CMA_0371: Verwalten der Übertragungen zwischen Standby- und aktiven Systemkomponenten | Manuell, deaktiviert | 1.1.0 |
Vertraulichkeit und Integrität von übertragenen Informationen
ID: FedRAMP Moderate SC-8 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
| App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
| Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden | Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. | Audit, Deny, Disabled | 1.0.0 |
| Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
| Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
| Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
| Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
| In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
| Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
| Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
| Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
Kryptografischer oder alternativer physischer Schutz
ID: FedRAMP Moderate SC-8 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
| App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
| Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden | Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. | Audit, Deny, Disabled | 1.0.0 |
| Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
| Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
| Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
| Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
| Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
| Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
| Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
Netzwerktrennung
ID: FedRAMP Moderate SC-10 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Benutzersitzung erneut authentifizieren oder beenden | CMA_0421 – Benutzersitzung erneut authentifizieren oder beenden | Manuell, deaktiviert | 1.1.0 |
Einrichtung und Verwaltung von Kryptografieschlüsseln
ID: FedRAMP Moderate SC-12 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure Recovery Services Tresore sollten vom Kunden verwaltete Schlüssel für die Verschlüsselung von Sicherungsdaten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Daten des IoT Hub-Gerätebereitstellungsdiensts müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub-Gerätebereitstellungsdienst zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich. | Audit, Deny, Disabled | 2.2.0 |
| Azure API for FHIR muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln ruhender Daten verwenden | Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung der in Azure API for FHIR gespeicherten ruhenden Daten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem eine zweite Verschlüsselungsebene zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln hinzugefügt wird. | überprüfen, Überprüfung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Automation-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Automation-Konten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| Azure Container Instances-Containergruppe muss einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden | Schützen Sie Ihre Container mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled, Deny | 1.0.0 |
| Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Data Box-Aufträge müssen einen kundenseitig verwalteten Schlüssel zum Verschlüsseln des Kennworts für die Geräteentsperrung verwenden | Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung des Kennworts für die Geräteentsperrung für Azure Data Box zu steuern. Kundenseitig verwaltete Schlüssel bieten zudem Unterstützung beim Verwalten des Zugriffs auf das Kennwort zur Geräteentsperrung durch den Data Box Dienst, um das Gerät vorzubereiten und Daten automatisiert zu kopieren. Die Daten auf dem Gerät selbst sind bereits im Ruhezustand mit einer AES-256-Verschlüsselung (Advanced Encryption Standard) verschlüsselt, und das Kennwort zur Geräteentsperrung wird standardmäßig mit einem von Microsoft verwalteten Schlüssel verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Explorer-Verschlüsselung ruhender Daten muss einen kundenseitig verwalteten Schlüssel verwenden | Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihrem Azure Data Explorer-Cluster bietet zusätzliche Kontrolle über den Schlüssel, der von der Verschlüsselung ruhender Schlüssel verwendet wird. Dieses Feature ist häufig für Kunden mit speziellen Complianceanforderungen relevant und erfordert eine Key Vault-Instanz zur Verwaltung der Schlüssel. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Azure HDInsight-Cluster müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure HDInsight-Cluster zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| Azure HDInsight-Cluster müssen Verschlüsselung auf dem Host zur Verschlüsselung ruhender Daten verwenden | Durch das Aktivieren der Verschlüsselung auf dem Host können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn Sie die Verschlüsselung auf dem Host aktivieren, werden die auf dem VM-Host gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. | Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.1.0 |
| Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Erstellen Sie Azure Monitor-Protokollcluster mit Verschlüsselung durch kundenseitig verwaltete Schlüssel. Standardmäßig werden die Protokolldaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit dem kundenseitig verwalteten Schlüssel in Azure Monitor haben Sie eine bessere Kontrolle über den Zugriff auf Ihre Daten. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Stream Analytics-Aufträge sollten kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden | Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Sie alle Metadaten und privaten Datenbestände Ihrer Stream Analytics-Aufträge sicher in Ihrem Speicherkonto speichern möchten. Dadurch haben Sie die vollständige Kontrolle darüber, wie Ihre Stream Analytics-Daten verschlüsselt werden. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten zu steuern, die in Azure Synapse-Arbeitsbereichen gespeichert sind. Kundenseitig verwaltete Schlüssel bieten eine Mehrfachverschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird. | Audit, Deny, Disabled | 1.0.0 |
| Bot Service muss mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden | Azure Bot Service verschlüsselt Ihre Ressource automatisch, um Ihre Daten zu schützen sowie die Sicherheits- und Complianceanforderungen der Organisation zu erfüllen. Standardmäßig werden von Microsoft verwaltete Verschlüsselungsschlüssel verwendet. Wählen Sie kundenseitig verwaltete Schlüssel (auch als Bring Your Own Key (BYOK) bezeichnet) aus, um mehr Flexibilität bei der Verwaltung von Schlüsseln oder der Steuerung des Zugriffs auf Ihr Abonnement zu haben. Weitere Informationen zur Azure Bot Service-Verschlüsselung finden Sie hier: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Verwaltungsprozess physischer Schlüssel definieren | CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren | Manuell, deaktiviert | 1.1.0 |
| Kryptografische Verwendung definieren | CMA_0120 – Kryptografische Verwendung definieren | Manuell, deaktiviert | 1.1.0 |
| Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | Manuell, deaktiviert | 1.1.0 |
| Assertionsanforderungen bestimmen | CMA_0136 – Assertionsanforderungen bestimmen | Manuell, deaktiviert | 1.1.0 |
| Für Event Hub-Namespaces muss ein kundenseitig verwalteter Schlüssel zur Verschlüsselung verwendet werden | Azure Event Hubs unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Event Hub zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Event Hub nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Namespaces in dedizierten Clustern unterstützt. | Audit, Disabled | 1.0.0 |
| HPC Cache-Konten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Verwalten Sie die Verschlüsselung ruhender Azure HPC Cache-Daten mithilfe von kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Disabled, Deny | 2.0.0 |
| Öffentliche Schlüsselzertifikate ausstellen | CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen | Manuell, deaktiviert | 1.1.0 |
| Logic Apps-Integrationsdienstumgebung muss mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | Führen Sie eine Bereitstellung in einer Integrationsdienstumgebung durch, um die Verschlüsselung ruhender Logic Apps-Daten mithilfe kundenseitig verwalteter Schlüssel zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Deny, Disabled | 1.0.0 |
| Symmetrische kryptografische Schlüssel verwalten | CMA_0367 – Symmetrische kryptografische Schlüssel verwalten | Manuell, deaktiviert | 1.1.0 |
| Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| MySQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | AuditIfNotExists, Disabled | 1.0.4 |
| Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für die Inhalte Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | AuditIfNotExists, Disabled | 1.0.4 |
| Zugriff auf private Schlüssel einschränken | CMA_0445 – Zugriff auf private Schlüssel einschränken | Manuell, deaktiviert | 1.1.0 |
| Gespeicherte Abfragen in Azure Monitor müssen zur Protokollverschlüsselung im Kundenspeicherkonto gespeichert werden | Verknüpfen Sie das Speicherkonto mit einem Log Analytics-Arbeitsbereich, um gespeicherte Abfragen durch eine Verschlüsselung des Speicherkontos zu schützen. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre gespeicherten Abfragen in Azure Monitor zu erhalten. Ausführlichere Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Für Service Bus Premium-Namespaces muss ein kundenseitig verwaltete Schlüssel zur Verschlüsselung verwendet werden | Azure Service Bus unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Service Bus zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Service Bus nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Premium-Namespaces unterstützt. | Audit, Disabled | 1.0.0 |
| Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.0 |
| SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.1 |
| Verschlüsselungsbereiche für Speicherkonten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel zur Verwaltung ruhender Verschlüsselungen Ihrer Verschlüsselungsbereiche für Speicherkonten. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu Verschlüsselungsbereichen für Speicherkonten finden Sie unter https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled | 1.0.3 |
Symmetrische Schlüssel
ID: FedRAMP Moderate SC-12 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Erzeugen, Kontrollieren und Verteilen symmetrischer kryptografischer Schlüssel | CMA_C1645: Erzeugen, Kontrollieren und Verteilen symmetrischer kryptografischer Schlüssel | Manuell, deaktiviert | 1.1.0 |
Asymmetrische Schlüssel
ID: FedRAMP Moderate SC-12 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Asymmetrische kryptografische Schlüssel erstellen, steuern und verteilen | CMA_C1646 – Asymmetrische kryptografische Schlüssel erstellen, steuern und verteilen | Manuell, deaktiviert | 1.1.0 |
Kryptografischer Schutz
ID: FedRAMP Moderate SC-13 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Kryptografische Verwendung definieren | CMA_0120 – Kryptografische Verwendung definieren | Manuell, deaktiviert | 1.1.0 |
Gemeinsame Computergeräte
ID: FedRAMP Moderate SC-15 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ausdrücklich über die Verwendung von gemeinsam genutzten Computergeräten informieren | CMA_C1649: Ausdrücklich über die Verwendung von gemeinsam genutzten Computergeräten informieren | Manuell, deaktiviert | 1.1.1 |
| Remoteaktivierung von gemeinsam genutzten Computinggeräten untersagen | CMA_C1648 – Remoteaktivierung von gemeinsam genutzten Computinggeräten untersagen | Manuell, deaktiviert | 1.1.0 |
Public Key-Infrastrukturzertifikate
ID: FedRAMP Moderate SC-17 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Öffentliche Schlüsselzertifikate ausstellen | CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen | Manuell, deaktiviert | 1.1.0 |
Mobiler Code
ID: FedRAMP Moderate SC-18 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Autorisierung, Überwachung und Kontrolle der Nutzung von Mobildcodetechnologien | CMA_C1653: Autorisierung, Überwachung und Kontrolle der Nutzung von Mobilcodetechnologien | Manuell, deaktiviert | 1.1.0 |
| Definieren akzeptabler und inakzeptabler Mobilcodetechnologien | CMA_C1651: Definieren akzeptabler und inakzeptabler Mobilcodetechnologien | Manuell, deaktiviert | 1.1.0 |
| Festlegen von Nutzungseinschränkungen für Mobilcodetechnologien | CMA_C1652: Festlegen von Nutzungseinschränkungen für Mobilcodetechnologien | Manuell, deaktiviert | 1.1.0 |
Voice over IP
ID: FedRAMP Moderate SC-19 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VoIP autorisieren, überwachen und steuern | CMA_0025 – VoIP autorisieren, überwachen und steuern | Manuell, deaktiviert | 1.1.0 |
| VoIP-Nutzungseinschränkungen einrichten | CMA_0280: VoIP-Nutzungseinschränkungen einrichten | Manuell, deaktiviert | 1.1.0 |
Sicherer Namens- und Adressauflösungsdienst (autoritative Quelle)
ID: FedRAMP Moderate SC-20 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Fehlertoleranten Namens-/Adressdienst implementieren | CMA_0305 – Fehlertoleranten Namens-/Adressdienst implementieren | Manuell, deaktiviert | 1.1.0 |
| Sichere Namens- und Adressauflösungsdienste bereitstellen | CMA_0416 – Sichere Namens- und Adressauflösungsdienste bereitstellen | Manuell, deaktiviert | 1.1.0 |
Sicherer Namens- und Adressauflösungsdienst (rekursiver Konfliktlöser oder Cachekonfliktlöser)
ID: FedRAMP Moderate SC-21 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Fehlertoleranten Namens-/Adressdienst implementieren | CMA_0305 – Fehlertoleranten Namens-/Adressdienst implementieren | Manuell, deaktiviert | 1.1.0 |
| Software-, Firmware- und Informationsintegrität bestätigen | CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen | Manuell, deaktiviert | 1.1.0 |
Architektur und Bereitstellung für den Namens- und Adressauflösungsdienst
ID: FedRAMP Moderate SC-22 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Fehlertoleranten Namens-/Adressdienst implementieren | CMA_0305 – Fehlertoleranten Namens-/Adressdienst implementieren | Manuell, deaktiviert | 1.1.0 |
Echtheit von Sitzungen
ID: FedRAMP Moderate SC-23 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
| Zufällige eindeutige Sitzungsbezeichner erzwingen | CMA_0247: Erzwingen von zufälligen eindeutigen Sitzungsbezeichnern | Manuell, deaktiviert | 1.1.0 |
Schutz von ruhenden Informationen
ID: FedRAMP Moderate SC-28 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein | Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
| Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren | Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) | Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. | Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein | Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. | Audit, Deny, Disabled | 2.0.0 |
| Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein | Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. | Audit, Deny, Disabled | 2.0.0 |
| Datenleck-Verwaltungsprozedur einrichten | CMA_0255 – Datenleck-Verwaltungsprozedur einrichten | Manuell, deaktiviert | 1.1.0 |
| Infrastructure encryption should be enabled for Azure Database for MySQL servers (Infrastrukturverschlüsselung muss für Azure Database for MySQL-Server aktiviert sein) | Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for MySQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten mithilfe der von Microsoft verwalteten FIPS 140-2-konformen Schlüsseln doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Infrastrukturverschlüsselung muss für Azure Database for PostgreSQL-Server aktiviert sein | Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for PostgreSQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten doppelt mithilfe FIPS 140-2-konformer Schlüssel verschlüsselt, die von Microsoft verwaltet werden. | Audit, Deny, Disabled | 1.0.0 |
| Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
| Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen | Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. | Audit, Deny, Disabled | 1.1.0 |
| Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen | Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. | Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
| Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Kryptografischer Schutz
ID: FedRAMP Moderate SC-28 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein | Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
| Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren | Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) | Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. | Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein | Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. | Audit, Deny, Disabled | 2.0.0 |
| Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein | Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. | Audit, Deny, Disabled | 2.0.0 |
| Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
| Infrastructure encryption should be enabled for Azure Database for MySQL servers (Infrastrukturverschlüsselung muss für Azure Database for MySQL-Server aktiviert sein) | Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for MySQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten mithilfe der von Microsoft verwalteten FIPS 140-2-konformen Schlüsseln doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Infrastrukturverschlüsselung muss für Azure Database for PostgreSQL-Server aktiviert sein | Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for PostgreSQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten doppelt mithilfe FIPS 140-2-konformer Schlüssel verschlüsselt, die von Microsoft verwaltet werden. | Audit, Deny, Disabled | 1.0.0 |
| In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
| Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen | Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. | Audit, Deny, Disabled | 1.1.0 |
| Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen | Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. | Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
| Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Prozessisolation
ID: FedRAMP Moderate SC-39 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verwalten separater Ausführungsdomänen für laufende Prozesse | CMA_C1665: Verwalten separater Ausführungsdomänen für laufende Prozesse | Manuell, deaktiviert | 1.1.0 |
System- und Informationsintegrität
Richtlinien und Verfahren für die System- und Informationsintegrität
ID: FedRAMP Moderate SI-1 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Richtlinien und Prozeduren für die Informationsintegrität überprüfen und aktualisieren | CMA_C1667 – Richtlinien und Prozeduren für die Informationsintegrität überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Fehlerbehebung
ID: FedRAMP Moderate SI-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Funktions-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| Fehlerbehebung in die Konfigurationsverwaltung einbinden | CMA_C1671 – Fehlerbehebung in die Konfigurationsverwaltung einbinden | Manuell, deaktiviert | 1.1.0 |
| Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. | Audit, Disabled | 1.0.2 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
| Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
Automatisierter Fehlerbehebungsstatus
ID: FedRAMP Moderate SI-2 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Automatisieren der Fehlerbehebung | CMA_0027: Automatisieren der Fehlerbehebung | Manuell, deaktiviert | 1.1.0 |
| Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Zeit zum Korrigieren von Fehlern/Benchmarks für Korrekturmaßnahmen
ID: FedRAMP Moderate SI-2 (3) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Einrichten von Benchmarks für die Fehlerbehebung | CMA_C1675: Einrichten von Benchmarks für Fehlerkorrekturen | Manuell, deaktiviert | 1.1.0 |
| Messen der Zeit zwischen der Identifikation von Fehlern und der Behebung von Fehlern | CMA_C1674: Messen der Zeit zwischen der Identifikation von Fehlern und der Behebung von Fehlern | Manuell, deaktiviert | 1.1.0 |
Schutz vor schädlichem Code
ID: FedRAMP Moderate SI-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
| Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
| Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
| Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
| Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Zentrale Verwaltung
ID: FedRAMP Moderate SI-3 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
| Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
| Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
| Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Automatische Updates
ID: FedRAMP Moderate SI-3 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
| Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
| Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
| Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Nicht auf Signaturen basierende Erkennung
ID: FedRAMP Moderate SI-3 (7) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
| Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
| Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
| Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Überwachung des Informationssystems
ID: FedRAMP Moderate SI-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten | Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| Rechtlichen Meinung zur Überwachung von Systemaktivitäten einholen | CMA_C1688 – Rechtlichen Meinung zur Überwachung von Systemaktivitäten einholen | Manuell, deaktiviert | 1.1.0 |
| Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
| Überwachungsinformationen nach Bedarf bereitstellen | CMA_C1689 – Überwachungsinformationen nach Bedarf bereitstellen | Manuell, deaktiviert | 1.1.0 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Automatisierte Tools für die Echtzeitanalyse
ID: FedRAMP Moderate SI-4 (2) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Security Operations dokumentieren | CMA_0202 – Security Operations dokumentieren | Manuell, deaktiviert | 1.1.0 |
| Sensoren für Endpunktsicherheitslösung aktivieren | CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren | Manuell, deaktiviert | 1.1.0 |
Ein- und ausgehender Kommunikationsdatenverkehr
ID: FedRAMP Moderate SI-4 (4) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VoIP autorisieren, überwachen und steuern | CMA_0025 – VoIP autorisieren, überwachen und steuern | Manuell, deaktiviert | 1.1.0 |
| Systemgrenzschutz implementieren | CMA_0328 – Systemgrenzschutz implementieren | Manuell, deaktiviert | 1.1.0 |
| Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
| Datenverkehr über verwaltete Netzwerkzugriffspunkte weiterleiten | CMA_0484 – Datenverkehr über verwaltete Netzwerkzugriffspunkte weiterleiten | Manuell, deaktiviert | 1.1.0 |
Vom System generierte Warnungen
ID: FedRAMP Moderate SI-4 (5) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
| Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
| Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Angriffserkennung in Drahtlosnetzwerken
ID: FedRAMP Moderate SI-4 (14) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Dokumentieren von Sicherheitskontrollen für den drahtlosen Zugriff | CMA_C1695: Dokumentieren von Sicherheitskontrollen für den drahtlosen Zugriff | Manuell, deaktiviert | 1.1.0 |
Sicherheitsbenachrichtigungen, Empfehlungen und Anweisungen
ID: FedRAMP Moderate SI-5 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Sicherheitswarnungen an Mitarbeiter verteilen | CMA_C1705 – Sicherheitswarnungen an Mitarbeiter verteilen | Manuell, deaktiviert | 1.1.0 |
| Threat Intelligence-Programm einrichten | CMA_0260 – Threat Intelligence-Programm einrichten | Manuell, deaktiviert | 1.1.0 |
| Interne Sicherheitsbenachrichtigungen generieren | CMA_C1704 – Interne Sicherheitsbenachrichtigungen generieren | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsanweisungen implementieren | CMA_C1706 – Sicherheitsanweisungen implementieren | Manuell, deaktiviert | 1.1.0 |
Überprüfung von Sicherheitsfunktionen
ID: FedRAMP Moderate SI-6 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Erstellen alternativer Maßnahmen für identifizierte Anomalien | CMA_C1711: Erstellen alternativer Maßnahmen für identifizierte Anomalien | Manuell, deaktiviert | 1.1.0 |
| Mitarbeiter über fehlgeschlagene Sicherheitsüberprüfungstests benachrichtigen | CMA_C1710: Mitarbeiter über Sicherheitsüberprüfungstests informieren, bei denen Fehler aufgetreten sind | Manuell, deaktiviert | 1.1.0 |
| Überprüfung von Sicherheitsfunktionen mit einer definierten Häufigkeit durchführen | CMA_C1709: Überprüfung von Sicherheitsfunktionen mit einer definierten Häufigkeit durchführen | Manuell, deaktiviert | 1.1.0 |
| Sicherheitsfunktionen bestätigen | CMA_C1708 – Sicherheitsfunktionen bestätigen | Manuell, deaktiviert | 1.1.0 |
Integrität von Software, Firmware und Informationen
ID: FedRAMP Moderate SI-7 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Software-, Firmware- und Informationsintegrität bestätigen | CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen | Manuell, deaktiviert | 1.1.0 |
Integritätsüberprüfungen
ID: FedRAMP Moderate SI-7 (1) Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Software-, Firmware- und Informationsintegrität bestätigen | CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen | Manuell, deaktiviert | 1.1.0 |
| Systemdiagnosedaten anzeigen und konfigurieren | CMA_0544 – Systemdiagnosedaten anzeigen und konfigurieren | Manuell, deaktiviert | 1.1.0 |
Überprüfen von Informationseingaben
ID: FedRAMP Moderate SI-10 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Überprüfung der Informationseingabe durchführen | CMA_C1723 – Überprüfung der Informationseingabe durchführen | Manuell, deaktiviert | 1.1.0 |
Fehlerbehandlung
ID: FedRAMP Moderate SI-11 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Fehlermeldungen generieren | CMA_C1724 – Fehlermeldungen generieren | Manuell, deaktiviert | 1.1.0 |
| Fehlermeldungen aufdecken | CMA_C1725 – Fehlermeldungen aufdecken | Manuell, deaktiviert | 1.1.0 |
Informationsverarbeitung und -aufbewahrung
ID: FedRAMP Moderate SI-12 Besitz: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
| Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
| Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
Arbeitsspeicherschutz
ID: FedRAMP Moderate SI-16 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Nächste Schritte
Weitere Artikel über Azure Policy:
- Übersicht über die Einhaltung gesetzlicher Bestimmungen.
- Weitere Informationen finden Sie unter Struktur der Initiativendefinition.
- Sehen Sie sich weitere Beispiele unter Azure Policy-Beispiele an.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.