Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-53 Rev. 4

Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in NIST SP 800-53 Rev. 4 entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4. Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.

Die folgenden Zuordnungen gelten für die Steuerungen unter NIST SP 800-53 Rev. 4. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der integrierten Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-53 Rev. 4, und wählen Sie sie aus.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

Zugriffssteuerung

Richtlinien und Verfahren für die Zugriffssteuerung

ID: NIST SP 800-53 Rev. 4 AC-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriffssteuerungsrichtlinien und -prozeduren entwickeln CMA_0144 – Zugriffssteuerungsrichtlinien und -prozeduren entwickeln Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Richtlinien und Prozeduren steuern CMA_0292 – Richtlinien und Prozeduren steuern Manuell, deaktiviert 1.1.0
Zugriffssteuerungsrichtlinien und -prozeduren überprüfen CMA_0457 – Zugriffssteuerungsrichtlinien und -verfahren überprüfen Manuell, deaktiviert 1.1.0

Kontoverwaltung

ID: NIST SP 800-53 Rev. 4 AC-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Kundenbetreuer zuweisen CMA_0015 – Kundenbetreuer zuweisen Manuell, deaktiviert 1.1.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.1
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Disabled 1.0.0
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Disabled 1.0.0
Bedingungen für freigegebene und Gruppenkonten definieren und erzwingen CMA_0117: Definieren und Erzwingen von Bedingungen für freigegebene Konten und Gruppenkonten Manuell, deaktiviert 1.1.0
Informationssystem-Kontotypen definieren CMA_0121 – Informationssystem-Kontotypen definieren Manuell, deaktiviert 1.1.0
Zugriffsrechte dokumentieren CMA_0186 – Zugriffsrechte dokumentieren Manuell, deaktiviert 1.1.0
Bedingungen für die Rollenmitgliedschaft festlegen CMA_0269 – Bedingungen für die Rollenmitgliedschaft festlegen Manuell, deaktiviert 1.1.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 1.0.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 1.0.0
Kontoaktivität überwachen CMA_0377 – Kontoaktivität überwachen Manuell, deaktiviert 1.1.0
Kundenbetreuer über kundengesteuerte Konten benachrichtigen CMA_C1009 – Kundenbetreuer über kundengesteuerte Konten benachrichtigen Manuell, deaktiviert 1.1.0
Authentifikatoren für geänderte Gruppen und Konten erneut ausstellen CMA_0426 – Authentifikatoren für geänderte Gruppen und Konten erneut ausstellen Manuell, deaktiviert 1.1.0
Genehmigung für Kontoerstellung anfordern CMA_0431 – Genehmigung für Kontoerstellung anfordern Manuell, deaktiviert 1.1.0
Zugriff auf privilegierte Konten einschränken CMA_0446 – Zugriff auf privilegierte Konten einschränken Manuell, deaktiviert 1.1.0
Kontobereitstellungsprotokolle überprüfen CMA_0460 – Kontobereitstellungsprotokolle überprüfen Manuell, deaktiviert 1.1.0
Überprüfen von Benutzerkonten CMA_0480 – Überprüfen von Benutzerkonten Manuell, deaktiviert 1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Automatisierte Systemkontoverwaltung

ID: NIST SP 800-53 Rev. 4 AC-2 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
Kontoverwaltung automatisieren CMA_0026 – Kontoverwaltung automatisieren Manuell, deaktiviert 1.1.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
System- und Administratorkonten verwalten CMA_0368 – System- und Administratorkonten verwalten Manuell, deaktiviert 1.1.0
Zugriff in der gesamten Organisation überwachen CMA_0376 – Zugriff in der gesamten Organisation überwachen Manuell, deaktiviert 1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird Manuell, deaktiviert 1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Deaktivieren inaktiver Konten

ID: NIST SP 800-53 Rev. 4 AC-2 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Authentifikatoren bei Beendigung deaktivieren CMA_0169 – Authentifikatoren bei Beendigung deaktivieren Manuell, deaktiviert 1.1.0
Privilegierte Rollen nach Bedarf widerrufen CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen Manuell, deaktiviert 1.1.0

Automatisierte Überwachung von Aktionen

ID: NIST SP 800-53 Rev. 4 AC-2 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Kontoverwaltung automatisieren CMA_0026 – Kontoverwaltung automatisieren Manuell, deaktiviert 1.1.0
System- und Administratorkonten verwalten CMA_0368 – System- und Administratorkonten verwalten Manuell, deaktiviert 1.1.0
Zugriff in der gesamten Organisation überwachen CMA_0376 – Zugriff in der gesamten Organisation überwachen Manuell, deaktiviert 1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird Manuell, deaktiviert 1.1.0

Abmeldung nach Inaktivität

ID: NIST SP 800-53 Rev. 4 AC-2 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Definieren und Erzwingen einer Inaktivitätsprotokollrichtlinie CMA_C1017: Definieren und Erzwingen einer Inaktivitätsprotokollrichtlinie Manuell, deaktiviert 1.1.0

Rollenbasierte Schemas

ID: NIST SP 800-53 Rev. 4 AC-2 (7) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.1
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Kontoaktivität überwachen CMA_0377 – Kontoaktivität überwachen Manuell, deaktiviert 1.1.0
Privilegierte Rollenzuweisung überwachen CMA_0378 – Privilegierte Rollenzuweisung überwachen Manuell, deaktiviert 1.1.0
Zugriff auf privilegierte Konten einschränken CMA_0446 – Zugriff auf privilegierte Konten einschränken Manuell, deaktiviert 1.1.0
Privilegierte Rollen nach Bedarf widerrufen CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen Manuell, deaktiviert 1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0
Privileged Identity Management verwenden CMA_0533 – Privileged Identity Management verwenden Manuell, deaktiviert 1.1.0

Einschränkungen in Bezug auf die Verwendung von freigegebenen Konten und Gruppenkonten

ID: NIST SP 800-53 Rev. 4 AC-2 (9) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bedingungen für freigegebene und Gruppenkonten definieren und erzwingen CMA_0117: Definieren und Erzwingen von Bedingungen für freigegebene Konten und Gruppenkonten Manuell, deaktiviert 1.1.0

Stornierung von Anmeldeinformationen von freigegebenen Konten oder Gruppenkonten

ID: NIST SP 800-53 Rev. 4 AC-2 (10) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Kundengesteuerte Kontoanmeldeinformationen beenden CMA_C1022 – Kundengesteuerte Kontoanmeldeinformationen beenden Manuell, deaktiviert 1.1.0

Nutzungsbedingungen

ID: NIST SP 800-53 Rev. 4 AC-2 (11) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Erzwingen der geeigneten Verwendung aller Konten CMA_C1023: Erzwingen der geeigneten Verwendung aller Konten Manuell, deaktiviert 1.1.0

Kontoüberwachung/atypische Verwendung

ID: NIST SP 800-53 Rev. 4 AC-2 (12) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Kontoaktivität überwachen CMA_0377 – Kontoaktivität überwachen Manuell, deaktiviert 1.1.0
Atypisches Verhalten von Benutzerkonten melden CMA_C1025 – Atypisches Verhalten von Benutzerkonten melden Manuell, deaktiviert 1.1.0

Konten für Personen mit hohem Risiko deaktivieren

ID: NIST SP 800-53 Rev. 4 AC-2 (13) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Deaktivieren von Benutzerkonten, die ein erhebliches Risiko darstellen CMA_C1026: Deaktivieren von Benutzerkonten, die ein erhebliches Risiko darstellen Manuell, deaktiviert 1.1.0

Zugriffserzwingung

ID: NIST SP 800-53 Rev. 4 AC-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. AuditIfNotExists, Disabled 3.1.0
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.1.0
Logischen Zugriff erzwingen CMA_0245 – Logischen Zugriff erzwingen Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Genehmigung für Kontoerstellung anfordern CMA_0431 – Genehmigung für Kontoerstellung anfordern Manuell, deaktiviert 1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen Manuell, deaktiviert 1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0

Rollenbasierte Zugriffssteuerung

ID: NIST SP 800-53 Rev. 4 AC-3 (7) Zuständigkeit: Kund*innen

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. Audit, Disabled 1.0.4

Erzwingung des Datenflusses

ID: NIST SP 800-53 Rev. 4 AC-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
[Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation AuditIfNotExists, Disabled 3.0.0-preview
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 3.1.0-preview
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.2
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. AuditIfNotExists, Disabled 2.0.0
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.1
Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. Audit, Deny, Disabled 3.2.0
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.1.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Azure Key Vault-Instanzen müssen private Verbindungen verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Informationsfluss steuern CMA_0079 – Informationsfluss steuern Manuell, deaktiviert 1.1.0
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden Manuell, deaktiviert 1.1.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. Audit, Deny, Disabled 2.0.1
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Audit, Deny, Disabled 1.0.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Dynamische Informationsflusssteuerung

ID: NIST SP 800-53 Rev. 4 AC-4 (3) Zuständigkeit: Kund*innen

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Sicherheitsrichtlinienfilter

ID: NIST SP 800-53 Rev. 4 AC-4 (8) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationsfluss mit Hilfe von Sicherheitsrichtlinienfiltern kontrollieren CMA_C1029 – Informationsfluss mit Hilfe von Sicherheitsrichtlinienfiltern kontrollieren Manuell, deaktiviert 1.1.0

Physische/logische Trennung von Informationsflüssen

ID: NIST SP 800-53 Rev. 4 AC-4 (21) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationsfluss steuern CMA_0079 – Informationsfluss steuern Manuell, deaktiviert 1.1.0
Firewall- und Routerkonfigurationsstandards einrichten CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten Manuell, deaktiviert 1.1.0
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten Manuell, deaktiviert 1.1.0
Downstream-Informationsaustausche identifizieren und verwalten CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten Manuell, deaktiviert 1.1.0

Aufgabentrennung

ID: NIST SP 800-53 Rev. 4 AC-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriffsberechtigungen zur Unterstützung der Aufgabentrennung definieren CMA_0116 – Zugriffsberechtigungen zur Unterstützung der Aufgabentrennung definieren Manuell, deaktiviert 1.1.0
Trennung von Aufgaben dokumentieren CMA_0204 – Trennung von Aufgaben dokumentieren Manuell, deaktiviert 1.1.0
Aufgaben von Einzelpersonen trennen CMA_0492 – Aufgaben von Einzelpersonen trennen Manuell, deaktiviert 1.1.0
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. AuditIfNotExists, Disabled 3.0.0

Ansatz der geringsten Rechte

ID: NIST SP 800-53 Rev. 4 AC-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.1
Zugriffssteuerungsmodell entwerfen CMA_0129 – Zugriffssteuerungsmodell entwerfen Manuell, deaktiviert 1.1.0
Zugriff mit den geringsten Rechten verwenden CMA_0212 – Zugriff mit den geringsten Rechten verwenden Manuell, deaktiviert 1.1.0

Autorisieren des Zugriffs auf Sicherheitsfunktionen

ID: NIST SP 800-53 Rev. 4 AC-6 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0

Privilegierte Konten

ID: NIST SP 800-53 Rev. 4 AC-6 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf privilegierte Konten einschränken CMA_0446 – Zugriff auf privilegierte Konten einschränken Manuell, deaktiviert 1.1.0

Überprüfen von Benutzerberechtigungen

ID: NIST SP 800-53 Rev. 4 AC-6 (7) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.1
Benutzerberechtigungen bei Bedarf neu zuweisen oder entfernen CMA_C1040 – Benutzerberechtigungen bei Bedarf neu zuweisen oder entfernen Manuell, deaktiviert 1.1.0
Benutzerberechtigungen überprüfen CMA_C1039 – Benutzerberechtigungen überprüfen Manuell, deaktiviert 1.1.0

Berechtigungsebenen für die Codeausführung

ID: NIST SP 800-53 Rev. 4 AC-6 (8) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Erzwingen von Softwareausführungsberechtigungen CMA_C1041: Erzwingen von Softwareausführungsberechtigungen Manuell, deaktiviert 1.1.0

Überwachen der Verwendung privilegierter Funktionen

ID: NIST SP 800-53 Rev. 4 AC-6 (9) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Volltextanalyse der protokollierten privilegierten Befehle durchführen CMA_0056 – Volltextanalyse der protokollierten privilegierten Befehle durchführen Manuell, deaktiviert 1.1.0
Privilegierte Rollenzuweisung überwachen CMA_0378 – Privilegierte Rollenzuweisung überwachen Manuell, deaktiviert 1.1.0
Zugriff auf privilegierte Konten einschränken CMA_0446 – Zugriff auf privilegierte Konten einschränken Manuell, deaktiviert 1.1.0
Privilegierte Rollen nach Bedarf widerrufen CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen Manuell, deaktiviert 1.1.0
Privileged Identity Management verwenden CMA_0533 – Privileged Identity Management verwenden Manuell, deaktiviert 1.1.0

Fehlgeschlagene Anmeldeversuche

ID: NIST SP 800-53 Rev. 4 AC-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Grenzwert für aufeinanderfolgende fehlgeschlagene Anmeldeversuche erzwingen CMA_C1044 – Grenzwert für aufeinanderfolgende fehlgeschlagene Anmeldeversuche erzwingen Manuell, deaktiviert 1.1.0

Steuerung gleichzeitiger Sitzungen

ID: NIST SP 800-53 Rev. 4 AC-10 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Definieren und Erzwingen des Grenzwerts für gleichzeitige Sitzungen CMA_C1050: Definieren und Erzwingen des Grenzwerts für gleichzeitige Sitzungen Manuell, deaktiviert 1.1.0

Beendigung der Sitzung

ID: NIST SP 800-53 Rev. 4 AC-12 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Benutzersitzung automatisch beenden CMA_C1054 – Benutzersitzung automatisch beenden Manuell, deaktiviert 1.1.0

Vom Benutzer initiierte Abmeldungen/Meldungsanzeigen

ID: NIST SP 800-53 Rev. 4 AC-12 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Explizite Abmeldemeldung anzeigen CMA_C1056 – Explizite Abmeldemeldung anzeigen Manuell, deaktiviert 1.1.0
Bereitstellen der Abmeldefunktion CMA_C1055 – Bereitstellen der Abmeldefunktion Manuell, deaktiviert 1.1.0

Zulässige Aktionen ohne Identifizierung oder Authentifizierung

ID: NIST SP 800-53 Rev. 4 AC-14 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ohne Authentifizierung zulässige Aktionen identifizieren CMA_0295 – Ohne Authentifizierung zulässige Aktionen identifizieren Manuell, deaktiviert 1.1.0

Sicherheitsattribute

ID: NIST SP 800-53 Rev. 4 AC-16 Zuständigkeit: Kund*innen

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2

Remotezugriff

ID: NIST SP 800-53 Rev. 4 AC-17 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. AuditIfNotExists, Disabled 3.1.0
Remotezugriff autorisieren CMA_0024 – Remotezugriff autorisieren Manuell, deaktiviert 1.1.0
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault-Instanzen müssen private Verbindungen verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud muss Netzwerkinjektion verwenden Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben Audit, Disabled, Deny 1.2.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.1.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Mobilitätstraining dokumentieren CMA_0191 – Mobilitätstraining dokumentieren Manuell, deaktiviert 1.1.0
Richtlinien für den Remotezugriff dokumentieren CMA_0196 – Richtlinien für den Remotezugriff dokumentieren Manuell, deaktiviert 1.1.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren Manuell, deaktiviert 1.1.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Training zum Datenschutz bereitstellen CMA_0415 – Training zum Datenschutz bereitstellen Manuell, deaktiviert 1.1.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Automatisierte Überwachung/Steuerung

ID: NIST SP 800-53 Rev. 4 AC-17 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. AuditIfNotExists, Disabled 3.1.0
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault-Instanzen müssen private Verbindungen verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud muss Netzwerkinjektion verwenden Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben Audit, Disabled, Deny 1.2.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.1.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Zugriff in der gesamten Organisation überwachen CMA_0376 – Zugriff in der gesamten Organisation überwachen Manuell, deaktiviert 1.1.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Schutz der Vertraulichkeit/Integrität mithilfe von Verschlüsselung

ID: NIST SP 800-53 Rev. 4 AC-17 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Benutzer über Systemanmeldung oder -zugriff benachrichtigen CMA_0382 – Benutzer über Systemanmeldung oder -zugriff benachrichtigen Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0

Verwaltete Zugriffssteuerungspunkte

ID: NIST SP 800-53 Rev. 4 AC-17 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenverkehr über verwaltete Netzwerkzugriffspunkte weiterleiten CMA_0484 – Datenverkehr über verwaltete Netzwerkzugriffspunkte weiterleiten Manuell, deaktiviert 1.1.0

Privilegierte Befehle/Zugriff

ID: NIST SP 800-53 Rev. 4 AC-17 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Remotezugriff autorisieren CMA_0024 – Remotezugriff autorisieren Manuell, deaktiviert 1.1.0
Remotezugriff auf berechtigte Befehle autorisieren CMA_C1064: Remotezugriff auf berechtigte Befehle autorisieren Manuell, deaktiviert 1.1.0
Richtlinien für den Remotezugriff dokumentieren CMA_0196 – Richtlinien für den Remotezugriff dokumentieren Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren Manuell, deaktiviert 1.1.0
Training zum Datenschutz bereitstellen CMA_0415 – Training zum Datenschutz bereitstellen Manuell, deaktiviert 1.1.0

Trennen/Deaktivieren des Zugriffs

ID: NIST SP 800-53 Rev. 4 AC-17 (9) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bereitstellen von Funktionen zum Trennen oder Deaktivieren des Remotezugriffs CMA_C1066: Bereitstellen von Funktionen zum Trennen oder Deaktivieren des Remotezugriffs Manuell, deaktiviert 1.1.0

Drahtloser Zugriff

ID: NIST SP 800-53 Rev. 4 AC-18 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Richtlinien für den Drahtloszugriff dokumentieren und implementieren CMA_0190 – Richtlinien für den Drahtloszugriff dokumentieren und implementieren Manuell, deaktiviert 1.1.0
Drahtlosen Zugriff schützen CMA_0411 – Drahtlosen Zugriff schützen Manuell, deaktiviert 1.1.0

Authentifizierung und Verschlüsselung

ID: NIST SP 800-53 Rev. 4 AC-18 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Richtlinien für den Drahtloszugriff dokumentieren und implementieren CMA_0190 – Richtlinien für den Drahtloszugriff dokumentieren und implementieren Manuell, deaktiviert 1.1.0
Netzwerkgeräte identifizieren und authentifizieren CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren Manuell, deaktiviert 1.1.0
Drahtlosen Zugriff schützen CMA_0411 – Drahtlosen Zugriff schützen Manuell, deaktiviert 1.1.0

Zugriffssteuerung für mobile Geräte

ID: NIST SP 800-53 Rev. 4 AC-19 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Anforderungen für mobile Geräte definieren CMA_0122 – Anforderungen für mobile Geräte definieren Manuell, deaktiviert 1.1.0

Vollständige geräte-/containerbasierte Verschlüsselung

ID: NIST SP 800-53 Rev. 4 AC-19 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Anforderungen für mobile Geräte definieren CMA_0122 – Anforderungen für mobile Geräte definieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0

Nutzung externer Informationssysteme

ID: NIST SP 800-53 Rev. 4 AC-20 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bedingungen für den Zugang zu den Ressourcen festlegen CMA_C1076 – Bedingungen für den Zugang zu den Ressourcen festlegen Manuell, deaktiviert 1.1.0
Bedingungen für die Verarbeitung von Ressourcen festlegen CMA_C1077 – Geschäftsbedingungen für die Verarbeitung von Ressourcen festlegen Manuell, deaktiviert 1.1.0

Beschränkungen der zulässigen Nutzung

ID: NIST SP 800-53 Rev. 4 AC-20 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitskontrollen für externe Informationssysteme überprüfen CMA_0541 – Sicherheitskontrollen für externe Informationssysteme überprüfen Manuell, deaktiviert 1.1.0

Tragbare Speichergeräte

ID: NIST SP 800-53 Rev. 4 AC-20 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Verwendung tragbarer Speichergeräte steuern CMA_0083 – Verwendung tragbarer Speichergeräte steuern Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0

Gemeinsame Nutzung von Informationen

ID: NIST SP 800-53 Rev. 4 AC-21 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Entscheidungen zur Informationsfreigabe automatisieren CMA_0028: Automatisieren von Entscheidungen zur Informationsfreigabe Manuell, deaktiviert 1.1.0
Unterstützen der Informationsfreigabe CMA_0284: Unterstützen der Informationsfreigabe Manuell, deaktiviert 1.1.0

Öffentlich zugängliche Inhalte

ID: NIST SP 800-53 Rev. 4 AC-22 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Autorisierte Mitarbeiter zum Veröffentlichen öffentlich zugänglicher Informationen bestimmen CMA_C1083 – Autorisierte Mitarbeiter zum Veröffentlichen öffentlich zugänglicher Informationen bestimmen Manuell, deaktiviert 1.1.0
Überprüfen von Inhalten vor dem Veröffentlichen öffentlich zugänglicher Informationen CMA_C1085: Überprüfen von Inhalten vor dem Veröffentlichen öffentlich zugänglicher Informationen Manuell, deaktiviert 1.1.0
Überprüfen öffentlich zugänglicher Inhalte auf nicht öffentliche Informationen CMA_C1086: Öffentlich zugängliche Inhalte auf nicht öffentliche Informationen überprüfen Manuell, deaktiviert 1.1.0
Mitarbeiter zur Offenlegung von nicht öffentlichen Informationen trainieren CMA_C1084 – Mitarbeiter zur Offenlegung von nicht öffentlichen Informationen trainieren Manuell, deaktiviert 1.1.0

Sensibilität und Training

Richtlinien und Verfahren für Sicherheitsbewusstsein und -schulungen

ID: NIST SP 800-53 Rev. 4 AT-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Trainingsaktivitäten für Sicherheit und Datenschutz dokumentieren CMA_0198 – Trainingsaktivitäten für Sicherheit und Datenschutz dokumentieren Manuell, deaktiviert 1.1.0
Informationssicherheitsrichtlinien aktualisieren CMA_0518 – Informationssicherheitsrichtlinien aktualisieren Manuell, deaktiviert 1.1.0

Schulung zum Sicherheitsbewusstsein

ID: NIST SP 800-53 Rev. 4 AT-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen CMA_C1091 – Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen Manuell, deaktiviert 1.1.0
Sicherheitstraining für neue Benutzer bereitstellen CMA_0419 – Sicherheitstraining für neue Benutzer bereitstellen Manuell, deaktiviert 1.1.0
Aktualisiertes Sicherheitsbewusstseinstraining bereitstellen CMA_C1090 – Aktualisiertes Sicherheitsbewusstseinstraining bereitstellen Manuell, deaktiviert 1.1.0

Insiderbedrohung

ID: NIST SP 800-53 Rev. 4 AT-2 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Schulung zum Sicherheitsbewusstsein für Insiderbedrohungen bereitstellen CMA_0417: Bereitstellen von Training zum Sicherheitsbewusstsein für Insider-Bedrohungen Manuell, deaktiviert 1.1.0

Rollenbasierte Sicherheitsschulung

ID: NIST SP 800-53 Rev. 4 AT-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen CMA_C1095 – Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen Manuell, deaktiviert 1.1.0
Rollenbasierte Sicherheitstrainings bereitstellen CMA_C1094 – Rollenbasierte Sicherheitstrainings bereitstellen Manuell, deaktiviert 1.1.0
Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen CMA_0418 – Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen Manuell, deaktiviert 1.1.0

Praxisnahe Übungen

ID: NIST SP 800-53 Rev. 4 AT-3 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bereitstellen rollenbasierter praktischer Übungen CMA_C1096: Bereitstellen rollenbasierter praktischer Übungen Manuell, deaktiviert 1.1.0

Verdächtige Kommunikation und anomales Systemverhalten

ID: NIST SP 800-53 Rev. 4 AT-3 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Rollenbasierte Schulungen zu verdächtigen Aktivitäten anbieten CMA_C1097: Anbieten von rollenbasierten Schulungen zu verdächtigen Aktivitäten Manuell, deaktiviert 1.1.0

Datensätze von Sicherheitsschulungen

ID: NIST SP 800-53 Rev. 4 AT-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Trainingsaktivitäten für Sicherheit und Datenschutz dokumentieren CMA_0198 – Trainingsaktivitäten für Sicherheit und Datenschutz dokumentieren Manuell, deaktiviert 1.1.0
Abschluss des Trainings zu Sicherheit und Datenschutz überwachen CMA_0379 – Abschluss des Trainings zu Sicherheit und Datenschutz überwachen Manuell, deaktiviert 1.1.0
Trainingsaufzeichnungen behalten CMA_0456 – Trainingsaufzeichnungen behalten Manuell, deaktiviert 1.1.0

Überwachung und Verantwortlichkeit

Überwachung und Verantwortlichkeit – Richtlinien und Verfahren

ID: NIST SP 800-53 Rev. 4 AU-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Richtlinien und Prozeduren für Überwachung und Verantwortlichkeit entwickeln CMA_0154 – Richtlinien und Prozeduren für Überwachung und Verantwortlichkeit entwickeln Manuell, deaktiviert 1.1.0
Informationssicherheitsrichtlinien und -prozeduren entwickeln CMA_0158 – Informationssicherheitsrichtlinien und -prozeduren entwickeln Manuell, deaktiviert 1.1.0
Richtlinien und Prozeduren steuern CMA_0292 – Richtlinien und Prozeduren steuern Manuell, deaktiviert 1.1.0
Informationssicherheitsrichtlinien aktualisieren CMA_0518 – Informationssicherheitsrichtlinien aktualisieren Manuell, deaktiviert 1.1.0

Überwachungsereignisse

ID: NIST SP 800-53 Rev. 4 AU-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0

Überprüfungen und Updates

ID: NIST SP 800-53 Rev. 4 AU-2 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
In AU-02 definierte Ereignisse überprüfen und aktualisieren CMA_C1106 – In AU-02 definierte Ereignisse überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Inhalt von Überwachungsdatensätzen

ID: NIST SP 800-53 Rev. 4 AU-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0

Zusätzliche Überwachungsinformationen

ID: NIST SP 800-53 Rev. 4 AU-3 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure-Überwachungsfunktionen konfigurieren CMA_C1108: Azure-Überwachungsfunktionen konfigurieren Manuell, deaktiviert 1.1.1

Speicherkapazität für Überwachungsdatensätze

ID: NIST SP 800-53 Rev. 4 AU-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Überwachungsverarbeitungsaktivitäten steuern und überwachen CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen Manuell, deaktiviert 1.1.0

Reaktion auf Fehler bei der Überwachungsverarbeitung

ID: NIST SP 800-53 Rev. 4 AU-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Überwachungsverarbeitungsaktivitäten steuern und überwachen CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen Manuell, deaktiviert 1.1.0

Benachrichtigungen in Echtzeit

ID: NIST SP 800-53 Rev. 4 AU-5 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bereitstellen von Echtzeitwarnungen bei Überwachungsereignisfehlern CMA_C1114 – Bereitstellen von Echtzeitwarnungen bei Überwachungsereignisfehlern Manuell, deaktiviert 1.1.0

Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung

ID: NIST SP 800-53 Rev. 4 AU-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Überwachungsdatensätze korrelieren CMA_0087 – Überwachungsdatensätze korrelieren Manuell, deaktiviert 1.1.0
Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen CMA_0277 – Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen Manuell, deaktiviert 1.1.0
Überprüfung, Analyse und Berichterstellung der Überwachung integrieren CMA_0339 – Überprüfung, Analyse und Berichterstellung der Überwachung integrieren Manuell, deaktiviert 1.1.0
Cloud App Security in SIEM integrieren CMA_0340 – Cloud App Security in SIEM integrieren Manuell, deaktiviert 1.1.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
Kontobereitstellungsprotokolle überprüfen CMA_0460 – Kontobereitstellungsprotokolle überprüfen Manuell, deaktiviert 1.1.0
Administratorzuweisungen wöchentlich überprüfen CMA_0461 – Administratorzuweisungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0
Übersicht über den Cloud-Identitätsbericht überprüfen CMA_0468 – Übersicht über den Cloud-Identitätsbericht überprüfen Manuell, deaktiviert 1.1.0
Überwachte Ordnerzugriffsereignisse überprüfen CMA_0471 – Überwachte Ordnerzugriffsereignisse überprüfen Manuell, deaktiviert 1.1.0
Datei- und Ordneraktivitäten überprüfen CMA_0473 – Datei- und Ordneraktivitäten überprüfen Manuell, deaktiviert 1.1.0
Rollengruppenänderungen wöchentlich überprüfen CMA_0476 – Rollengruppenänderungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0

Prozessintegration

ID: NIST SP 800-53 Rev. 4 AU-6 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Überwachungsdatensätze korrelieren CMA_0087 – Überwachungsdatensätze korrelieren Manuell, deaktiviert 1.1.0
Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen CMA_0277 – Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen Manuell, deaktiviert 1.1.0
Überprüfung, Analyse und Berichterstellung der Überwachung integrieren CMA_0339 – Überprüfung, Analyse und Berichterstellung der Überwachung integrieren Manuell, deaktiviert 1.1.0
Cloud App Security in SIEM integrieren CMA_0340 – Cloud App Security in SIEM integrieren Manuell, deaktiviert 1.1.0
Kontobereitstellungsprotokolle überprüfen CMA_0460 – Kontobereitstellungsprotokolle überprüfen Manuell, deaktiviert 1.1.0
Administratorzuweisungen wöchentlich überprüfen CMA_0461 – Administratorzuweisungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0
Übersicht über den Cloud-Identitätsbericht überprüfen CMA_0468 – Übersicht über den Cloud-Identitätsbericht überprüfen Manuell, deaktiviert 1.1.0
Überwachte Ordnerzugriffsereignisse überprüfen CMA_0471 – Überwachte Ordnerzugriffsereignisse überprüfen Manuell, deaktiviert 1.1.0
Datei- und Ordneraktivitäten überprüfen CMA_0473 – Datei- und Ordneraktivitäten überprüfen Manuell, deaktiviert 1.1.0
Rollengruppenänderungen wöchentlich überprüfen CMA_0476 – Rollengruppenänderungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0

Korrelieren von Überwachungsrepositorys

ID: NIST SP 800-53 Rev. 4 AU-6 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Überwachungsdatensätze korrelieren CMA_0087 – Überwachungsdatensätze korrelieren Manuell, deaktiviert 1.1.0
Cloud App Security in SIEM integrieren CMA_0340 – Cloud App Security in SIEM integrieren Manuell, deaktiviert 1.1.0

Zentrale Überprüfung und Analyse

ID: NIST SP 800-53 Rev. 4 AU-6 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Integrations-/Überprüfungs- und Überwachungsfunktionen

ID: NIST SP 800-53 Rev. 4 AU-6 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Integrieren der Überwachungsdatensatzanalyse CMA_C1120: Integrieren der Analyse von Überwachungsdatensätzen Manuell, deaktiviert 1.1.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Zulässige Aktionen

ID: NIST SP 800-53 Rev. 4 AU-6 (7) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Festlegen zulässiger Maßnahmen im Zusammenhang mit Kundenüberwachungsinformationen CMA_C1122: Festlegen zulässiger Maßnahmen im Zusammenhang mit Kundenüberwachungsinformationen Manuell, deaktiviert 1.1.0

Anpassung der Überwachungsebene

ID: NIST SP 800-53 Rev. 4 AU-6 (10) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Überwachungsüberprüfung, -analyse und -berichterstattung anpassen CMA_C1123 – Überwachungsüberprüfung, -analyse und -berichterstattung anpassen Manuell, deaktiviert 1.1.0

Überwachungsreduzierung und Berichterstellung

ID: NIST SP 800-53 Rev. 4 AU-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherstellen, dass Überwachungsdatensätze nicht geändert werden CMA_C1125: Sicherstellen, dass Überwachungsdatensätze nicht geändert werden Manuell, deaktiviert 1.1.0
Auditüberprüfung, Analyse- und Berichtsfunktionen anbieten CMA_C1124: Auditüberprüfung, Analyse- und Berichtsfunktionen bereitstellen Manuell, deaktiviert 1.1.0

Automatische Verarbeitung

ID: NIST SP 800-53 Rev. 4 AU-7 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bereitstellen der Funktion zum Verarbeiten von kundengesteuerten Überwachungsdatensätzen CMA_C1126: Bereitstellen der Funktion zum Verarbeiten von kundengesteuerten Überwachungsdatensätzen Manuell, deaktiviert 1.1.0

Zeitstempel

ID: NIST SP 800-53 Rev. 4 AU-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemuhren für Überwachungsdatensätze verwenden CMA_0535 – Systemuhren für Überwachungsdatensätze verwenden Manuell, deaktiviert 1.1.0

Synchronisierung mit autoritativer Zeitquelle

ID: NIST SP 800-53 Rev. 4 AU-8 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemuhren für Überwachungsdatensätze verwenden CMA_0535 – Systemuhren für Überwachungsdatensätze verwenden Manuell, deaktiviert 1.1.0

Schutz von Überwachungsinformationen

ID: NIST SP 800-53 Rev. 4 AU-9 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Duale oder gemeinsame Autorisierung aktivieren CMA_0226 – Duale oder gemeinsame Autorisierung aktivieren Manuell, deaktiviert 1.1.0
Überwachungsinformationen schützen CMA_0401 – Überwachungsinformationen schützen Manuell, deaktiviert 1.1.0

Sicherung von Überwachungsinformationen auf getrennten physischen Systemen/Komponenten

ID: NIST SP 800-53 Rev. 4 AU-9 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherungsrichtlinien und -prozeduren einrichten CMA_0268 – Sicherungsrichtlinien und -prozeduren einrichten Manuell, deaktiviert 1.1.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 4 AU-9 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Integrität des Überwachungssystems beibehalten CMA_C1133 – Integrität des Überwachungssystems beibehalten Manuell, deaktiviert 1.1.0

Zugriff durch eine Teilmenge berechtigter Benutzer

ID: NIST SP 800-53 Rev. 4 AU-9 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Überwachungsinformationen schützen CMA_0401 – Überwachungsinformationen schützen Manuell, deaktiviert 1.1.0

Unleugbarkeit

ID: NIST SP 800-53 Rev. 4 AU-10 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Elektronische Signatur und Zertifikatanforderungen einrichten CMA_0271 – Elektronische Signatur und Zertifikatanforderungen einrichten Manuell, deaktiviert 1.1.0

Aufbewahrung von Überwachungsdatensätzen

ID: NIST SP 800-53 Rev. 4 AU-11 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten Manuell, deaktiviert 1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten Manuell, deaktiviert 1.1.0
Daten von gekündigten Benutzern aufbewahren CMA_0455 – Daten von gekündigten Benutzern aufbewahren Manuell, deaktiviert 1.1.0
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. AuditIfNotExists, Disabled 3.0.0

Generierung von Überwachungsdatensätzen

ID: NIST SP 800-53 Rev. 4 AU-12 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Systemweiter/zeitkorrelierter Überwachungspfad

ID: NIST SP 800-53 Rev. 4 AU-12 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Überwachungsaufzeichnungen zu einer systemweiten Überprüfung zusammenstellen CMA_C1140 – Überwachungsaufzeichnungen zu einer systemweiten Überprüfung zusammenstellen Manuell, deaktiviert 1.1.0
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Änderungen durch autorisierte Personen

ID: NIST SP 800-53 Rev. 4 AU-12 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bereitstellen der Möglichkeit, die Überwachung der vom Kunden bereitgestellten Ressourcen zu erweitern oder einzuschränken CMA_C1141 – Bereitstellen der Möglichkeit, die Überwachung der vom Kunden bereitgestellten Ressourcen zu erweitern oder einzuschränken Manuell, deaktiviert 1.1.0

Sicherheitsbewertung und Autorisierung

Sicherheitsbewertungs- und -autorisierungsrichtlinie und -verfahren

ID: NIST SP 800-53 Rev. 4 CA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Richtlinien und Prozeduren zur Sicherheitsbewertung und Autorisierung überprüfen CMA_C1143 – Richtlinien und Prozeduren zur Sicherheitsbewertung und Autorisierung überprüfen Manuell, deaktiviert 1.1.0

Sicherheitsbewertungen

ID: NIST SP 800-53 Rev. 4 CA-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitskontrollen bewerten CMA_C1145 – Sicherheitskontrollen bewerten Manuell, deaktiviert 1.1.0
Ergebnisse der Sicherheitsbewertung liefern CMA_C1147 – Ergebnisse der Sicherheitsbewertung liefern Manuell, deaktiviert 1.1.0
Sicherheitsbewertungsplan entwickeln CMA_C1144 – Sicherheitsbewertungsplan entwickeln Manuell, deaktiviert 1.1.0
Sicherheitsbewertungsbericht erstellen CMA_C1146 – Sicherheitsbewertungsbericht erstellen Manuell, deaktiviert 1.1.0

Unabhängige Gutachter

ID: NIST SP 800-53 Rev. 4 CA-2 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Unabhängige Prüfer für die Durchführung von Sicherheitskontrollbewertungen einsetzen CMA_C1148 – Unabhängige Prüfer für die Durchführung von Sicherheitskontrollbewertungen einsetzen Manuell, deaktiviert 1.1.0

Spezialisierte Bewertungen

ID: NIST SP 800-53 Rev. 4 CA-2 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Weitere Tests für Sicherheitskontrollbewertungen auswählen CMA_C1149 – Weitere Tests für Sicherheitskontrollbewertungen auswählen Manuell, deaktiviert 1.1.0

Externe Organisationen

ID: NIST SP 800-53 Rev. 4 CA-2 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Akzeptieren von Bewertungsergebnissen CMA_C1150: Akzeptieren von Bewertungsergebnissen Manuell, deaktiviert 1.1.0

Systemverbindungen

ID: NIST SP 800-53 Rev. 4 CA-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsvereinbarungen für Zusammenschaltungen anfordern CMA_C1151 – Sicherheitsvereinbarungen für Zusammenschaltungen anfordern Manuell, deaktiviert 1.1.0
Verbindungssicherheitsvereinbarungen aktualisieren CMA_0519 – Verbindungssicherheitsvereinbarungen aktualisieren Manuell, deaktiviert 1.1.0

Verbindungen mit nicht klassifizierten, nicht nationalen Sicherheitssystemen

ID: NIST SP 800-53 Rev. 4 CA-3 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemgrenzschutz implementieren CMA_0328 – Systemgrenzschutz implementieren Manuell, deaktiviert 1.1.0

Einschränkungen für Verbindungen mit externen System

ID: NIST SP 800-53 Rev. 4 CA-3 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Anwenden von Einschränkungen für Zusammenschaltung externer Systeme CMA_C1155: Anwenden von Einschränkungen für Zusammenschaltungen externer Systeme Manuell, deaktiviert 1.1.0

Aktions- und Meilensteinplan

ID: NIST SP 800-53 Rev. 4 CA-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
POA&M entwickeln CMA_C1156 – Entwickeln von POA&M Manuell, deaktiviert 1.1.0
POA&M-Elemente aktualisieren CMA_C1157 – Aktualisieren von POA&M-Elementen Manuell, deaktiviert 1.1.0

Sicherheitsautorisierung

ID: NIST SP 800-53 Rev. 4 CA-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Offizielle Autorisierungsperson (AO) zuweisen CMA_C1158 – Offizielle Autorisierungsperson (AO) zuweisen Manuell, deaktiviert 1.1.0
Autorisierung der Ressourcen sicherstellen CMA_C1159 – Autorisierung der Ressourcen sicherstellen Manuell, deaktiviert 1.1.0
Aktualisieren der Sicherheitsautorisierung CMA_C1160: Aktualisieren der Sicherheitsautorisierung Manuell, deaktiviert 1.1.0

Kontinuierliche Überwachung

ID: NIST SP 800-53 Rev. 4 CA-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Whitelist für die Erkennung konfigurieren CMA_0068 – Whitelist für die Erkennung konfigurieren Manuell, deaktiviert 1.1.0
Sensoren für Endpunktsicherheitslösung aktivieren CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren Manuell, deaktiviert 1.1.0
Unabhängige Sicherheitsüberprüfung durchlaufen CMA_0515 – Unabhängige Sicherheitsüberprüfung durchlaufen Manuell, deaktiviert 1.1.0

Unabhängige Bewertung

ID: NIST SP 800-53 Rev. 4 CA-7 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Einsatz von unabhängigen Prüfern für die kontinuierliche Überwachung CMA_C1168: Einsatz von unabhängigen Prüfern für die kontinuierliche Überwachung Manuell, deaktiviert 1.1.0

Trendanalyse

ID: NIST SP 800-53 Rev. 4 CA-7 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Analysieren von Daten, die aus der kontinuierlichen Überwachung erhalten wurden CMA_C1169: Analyse der aus der kontinuierlichen Überwachung gewonnenen Daten Manuell, deaktiviert 1.1.0

Unabhängiger Agent oder Team für Penetrationstests

ID: NIST SP 800-53 Rev. 4 CA-8 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Unabhängiges Team für Penetrationstests bereitstellen CMA_C1171 – Unabhängiges Team für Penetrationstests bereitstellen Manuell, deaktiviert 1.1.0

Interne Systemverbindungen

ID: NIST SP 800-53 Rev. 4 CA-9 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Vor dem Einrichten interner Verbindungen auf Datenschutz und Sicherheitskonformität prüfen CMA_0053 – Vor dem Einrichten interner Verbindungen auf Datenschutz und Sicherheitskonformität prüfen Manuell, deaktiviert 1.1.0

Konfigurationsverwaltung

Richtlinien und Verfahren für die Konfigurationsverwaltung

ID: NIST SP 800-53 Rev. 4 CM-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konfigurationsverwaltungsrichtlinien und -prozeduren überprüfen und aktualisieren CMA_C1175: Konfigurationsverwaltungsrichtlinien und -prozeduren überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Baselinekonfiguration

ID: NIST SP 800-53 Rev. 4 CM-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Aktionen für nicht kompatible Geräte konfigurieren CMA_0062 – Aktionen für nicht kompatible Geräte konfigurieren Manuell, deaktiviert 1.1.0
Basisplankonfigurationen entwickeln und verwalten CMA_0153 – Basisplankonfigurationen entwickeln und verwalten Manuell, deaktiviert 1.1.0
Einstellungen für die Sicherheitskonfiguration erzwingen CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen Manuell, deaktiviert 1.1.0
Konfigurationssteuerungsgremium einrichten CMA_0254 – Konfigurationssteuerungsgremium einrichten Manuell, deaktiviert 1.1.0
Konfigurationsverwaltungsplan einrichten und dokumentieren CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren Manuell, deaktiviert 1.1.0
Tool für die automatisierte Konfigurationsverwaltung implementieren CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren Manuell, deaktiviert 1.1.0

Automatisierungsunterstützung für Genauigkeit/Währung

ID: NIST SP 800-53 Rev. 4 CM-2 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Aktionen für nicht kompatible Geräte konfigurieren CMA_0062 – Aktionen für nicht kompatible Geräte konfigurieren Manuell, deaktiviert 1.1.0
Basisplankonfigurationen entwickeln und verwalten CMA_0153 – Basisplankonfigurationen entwickeln und verwalten Manuell, deaktiviert 1.1.0
Einstellungen für die Sicherheitskonfiguration erzwingen CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen Manuell, deaktiviert 1.1.0
Konfigurationssteuerungsgremium einrichten CMA_0254 – Konfigurationssteuerungsgremium einrichten Manuell, deaktiviert 1.1.0
Konfigurationsverwaltungsplan einrichten und dokumentieren CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren Manuell, deaktiviert 1.1.0
Tool für die automatisierte Konfigurationsverwaltung implementieren CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren Manuell, deaktiviert 1.1.0

Aufbewahrung vorheriger Konfigurationen

ID: NIST SP 800-53 Rev. 4 CM-2 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Frühere Versionen von Baseline-Konfigurationen beibehalten CMA_C1181: Frühere Versionen von Baselinekonfigurationen beibehalten Manuell, deaktiviert 1.1.0

Konfigurieren von Systemen, Komponenten oder Geräten für Bereiche mit hohem Risiko

ID: NIST SP 800-53 Rev. 4 CM-2 (7) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherstellen, dass Sicherheitsvorkehrungen bei der Rückkehr der Personen nicht erforderlich sind CMA_C1183 –Sicherstellen, dass Sicherheitsvorkehrungen bei der Rückkehr der Personen nicht erforderlich sind Manuell, deaktiviert 1.1.0
Keine Begleitung von Informationssystemen durch Einzelpersonen zulassen CMA_C1182 – Keine Begleitung von Informationssystemen durch Einzelpersonen zulassen Manuell, deaktiviert 1.1.0

Steuerung von Konfigurationsänderungen

ID: NIST SP 800-53 Rev. 4 CM-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsauswirkungsanalyse durchführen CMA_0057 – Sicherheitsauswirkungsanalyse durchführen Manuell, deaktiviert 1.1.0
Standard für Sicherheitsrisikomanagement entwickeln und verwalten CMA_0152 – Standard für Sicherheitsrisikomanagement entwickeln und verwalten Manuell, deaktiviert 1.1.0
Risikomanagementstrategie einrichten CMA_0258 – Risikomanagementstrategie einrichten Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0
Konfigurationsverwaltungsanforderungen für Entwickler einrichten CMA_0270 – Konfigurationsverwaltungsanforderungen für Entwickler einrichten Manuell, deaktiviert 1.1.0
Datenschutzauswirkungsbewertung durchführen CMA_0387 – Datenschutzauswirkungsbewertung durchführen Manuell, deaktiviert 1.1.0
Risikobewertung durchführen CMA_0388 – Risikobewertung durchführen Manuell, deaktiviert 1.1.0
Überprüfung für Konfigurationsänderungssteuerung ausführen CMA_0390 – Überprüfung für Konfigurationsänderungssteuerung ausführen Manuell, deaktiviert 1.1.0

Automatisierte Mechanismen zu Dokumentation, Benachrichtigungen und Änderungsverboten

ID: NIST SP 800-53 Rev. 4 CM-3 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Genehmigungsanforderung für vorgeschlagene Änderungen automatisieren CMA_C1192 – Genehmigungsanforderung für vorgeschlagene Änderungen automatisieren Manuell, deaktiviert 1.1.0
Implementierung genehmigter Änderungsbenachrichtigungen automatisieren CMA_C1196 – Implementierung genehmigter Änderungsbenachrichtigungen automatisieren Manuell, deaktiviert 1.1.0
Prozess zur Dokumentation implementierter Änderungen automatisieren CMA_C1195 – Prozess zur Dokumentation implementierter Änderungen automatisieren Manuell, deaktiviert 1.1.0
Prozess zum Hervorheben von nicht angezeigten Änderungsvorschlägen automatisieren CMA_C1193 – Prozess zum Hervorheben von nicht angezeigten Änderungsvorschlägen automatisieren Manuell, deaktiviert 1.1.0
Prozess zum Verhindern der Implementierung nicht genehmigter Änderungen automatisieren CMA_C1194 – Prozess zum Verhindern der Implementierung nicht genehmigter Änderungen automatisieren Manuell, deaktiviert 1.1.0
Vorgeschlagene dokumentierte Änderungen automatisieren CMA_C1191 – Vorgeschlagene dokumentierte Änderungen automatisieren Manuell, deaktiviert 1.1.0

Testen, Überprüfen und Dokumentieren von Änderungen

ID: NIST SP 800-53 Rev. 4 CM-3 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0
Konfigurationsverwaltungsanforderungen für Entwickler einrichten CMA_0270 – Konfigurationsverwaltungsanforderungen für Entwickler einrichten Manuell, deaktiviert 1.1.0
Überprüfung für Konfigurationsänderungssteuerung ausführen CMA_0390 – Überprüfung für Konfigurationsänderungssteuerung ausführen Manuell, deaktiviert 1.1.0

Sicherheitsbeauftragter

ID: NIST SP 800-53 Rev. 4 CM-3 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zuweisen eines Informationssicherheitsbeauftragten zur Änderung der Kontrolle CMA_C1198 – Zuweisen eines Informationssicherheitsbeauftragten zur Änderung der Kontrolle Manuell, deaktiviert 1.1.0

Verwaltung von kryptografischen Mechanismen

ID: NIST SP 800-53 Rev. 4 CM-3 (6) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherstellen, dass kryptografische Mechanismen unter Konfigurationsverwaltung stehen CMA_C1199 – Sicherstellen, dass kryptografische Mechanismen unter Konfigurationsverwaltung stehen Manuell, deaktiviert 1.1.0

Analyse der Auswirkungen auf die Sicherheit

ID: NIST SP 800-53 Rev. 4 CM-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsauswirkungsanalyse durchführen CMA_0057 – Sicherheitsauswirkungsanalyse durchführen Manuell, deaktiviert 1.1.0
Standard für Sicherheitsrisikomanagement entwickeln und verwalten CMA_0152 – Standard für Sicherheitsrisikomanagement entwickeln und verwalten Manuell, deaktiviert 1.1.0
Risikomanagementstrategie einrichten CMA_0258 – Risikomanagementstrategie einrichten Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0
Konfigurationsverwaltungsanforderungen für Entwickler einrichten CMA_0270 – Konfigurationsverwaltungsanforderungen für Entwickler einrichten Manuell, deaktiviert 1.1.0
Datenschutzauswirkungsbewertung durchführen CMA_0387 – Datenschutzauswirkungsbewertung durchführen Manuell, deaktiviert 1.1.0
Risikobewertung durchführen CMA_0388 – Risikobewertung durchführen Manuell, deaktiviert 1.1.0
Überprüfung für Konfigurationsänderungssteuerung ausführen CMA_0390 – Überprüfung für Konfigurationsänderungssteuerung ausführen Manuell, deaktiviert 1.1.0

Trennen von Testumgebungen

ID: NIST SP 800-53 Rev. 4 CM-4 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsauswirkungsanalyse durchführen CMA_0057 – Sicherheitsauswirkungsanalyse durchführen Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0
Konfigurationsverwaltungsanforderungen für Entwickler einrichten CMA_0270 – Konfigurationsverwaltungsanforderungen für Entwickler einrichten Manuell, deaktiviert 1.1.0
Datenschutzauswirkungsbewertung durchführen CMA_0387 – Datenschutzauswirkungsbewertung durchführen Manuell, deaktiviert 1.1.0
Überprüfung für Konfigurationsänderungssteuerung ausführen CMA_0390 – Überprüfung für Konfigurationsänderungssteuerung ausführen Manuell, deaktiviert 1.1.0

Zugriffseinschränkungen für Änderungen

ID: NIST SP 800-53 Rev. 4 CM-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0

Automatisierte Zugriffserzwingung und Überwachung

ID: NIST SP 800-53 Rev. 4 CM-5 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriffseinschränkungen erzwingen und überwachen CMA_C1203 – Zugriffseinschränkungen erzwingen und überwachen Manuell, deaktiviert 1.1.0

Überprüfen von Systemänderungen

ID: NIST SP 800-53 Rev. 4 CM-5 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Änderungen auf nicht autorisierte Änderungen überprüfen CMA_C1204 – Änderungen auf nicht autorisierte Änderungen überprüfen Manuell, deaktiviert 1.1.0

Signierte Komponenten

ID: NIST SP 800-53 Rev. 4 CM-5 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht autorisierte Software- und Firmwareinstallation einschränken CMA_C1205: Nicht autorisierte Software- und Firmwareinstallation einschränken Manuell, deaktiviert 1.1.0

Beschränken von Berechtigungen in Bezug auf Produktion/Betrieb

ID: NIST SP 800-53 Rev. 4 CM-5 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Berechtigungen zur Vornahme von Änderungen in der Produktionsumgebung beschränken CMA_C1206 – Berechtigungen zur Vornahme von Änderungen in der Produktionsumgebung beschränken Manuell, deaktiviert 1.1.0
Berechtigungen überprüfen und neu bewerten CMA_C1207 – Berechtigungen überprüfen und neu bewerten Manuell, deaktiviert 1.1.0

Konfigurationseinstellungen

ID: NIST SP 800-53 Rev. 4 CM-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. Audit, Disabled 3.1.0-deprecated
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. AuditIfNotExists, Disabled 1.0.0
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. AuditIfNotExists, Disabled 2.0.0
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. Audit, Disabled 1.0.2
Einstellungen für die Sicherheitskonfiguration erzwingen CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen Manuell, deaktiviert 1.1.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. AuditIfNotExists, Disabled 2.0.0
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 9.3.0
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.2.0
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.2.0
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.2.0
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 9.3.0
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.3.0
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.2.0
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.2.0
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.2.0
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.2.0
Kubernetes-Cluster dürfen keine privilegierten Container zulassen Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 9.2.0
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.2.0
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. AuditIfNotExists, Disabled 2.2.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. AuditIfNotExists, Disabled 2.0.0

Automatisierte zentrale Verwaltung, Anwendung und Überprüfung

ID: NIST SP 800-53 Rev. 4 CM-6 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Einstellungen für die Sicherheitskonfiguration erzwingen CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen Manuell, deaktiviert 1.1.0
Konformität von Cloud-Dienstanbietern steuern CMA_0290 – Konformität von Cloud-Dienstanbietern steuern Manuell, deaktiviert 1.1.0
Systemdiagnosedaten anzeigen und konfigurieren CMA_0544 – Systemdiagnosedaten anzeigen und konfigurieren Manuell, deaktiviert 1.1.0

Mindestfunktionalität

ID: NIST SP 800-53 Rev. 4 CM-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3

Komponentenbestand des Informationssystems

ID: NIST SP 800-53 Rev. 4 CM-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenbestand erstellen CMA_0096 – Datenbestand erstellen Manuell, deaktiviert 1.1.0
Datensätze zur Verarbeitung personenbezogener Daten verwalten CMA_0353 – Datensätze zur Verarbeitung personenbezogener Daten verwalten Manuell, deaktiviert 1.1.0

Updates bei Installationen und Entfernungen

ID: NIST SP 800-53 Rev. 4 CM-8 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenbestand erstellen CMA_0096 – Datenbestand erstellen Manuell, deaktiviert 1.1.0
Datensätze zur Verarbeitung personenbezogener Daten verwalten CMA_0353 – Datensätze zur Verarbeitung personenbezogener Daten verwalten Manuell, deaktiviert 1.1.0

Automatisierte Erkennung von nicht autorisierten Komponenten

ID: NIST SP 800-53 Rev. 4 CM-8 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Erkennung von Netzwerkgeräten aktivieren CMA_0220 – Erkennung von Netzwerkgeräten aktivieren Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Informationen zur Verantwortlichkeit

ID: NIST SP 800-53 Rev. 4 CM-8 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenbestand erstellen CMA_0096 – Datenbestand erstellen Manuell, deaktiviert 1.1.0
Ressourcenbestand einrichten und verwalten CMA_0266 – Ressourcenbestand einrichten und verwalten Manuell, deaktiviert 1.1.0

Konfigurationsverwaltungsplan

ID: NIST SP 800-53 Rev. 4 CM-9 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Schutz des Konfigurationsplans erstellen CMA_C1233 – Schutz des Konfigurationsplans erstellen Manuell, deaktiviert 1.1.0
Basisplankonfigurationen entwickeln und verwalten CMA_0153 – Basisplankonfigurationen entwickeln und verwalten Manuell, deaktiviert 1.1.0
Identifikationsplan für Konfigurationselemente entwickeln CMA_C1231 – Identifikationsplan für Konfigurationselemente entwickeln Manuell, deaktiviert 1.1.0
Konfigurationsverwaltungsplan entwickeln CMA_C1232 – Konfigurationsverwaltungsplan entwickeln Manuell, deaktiviert 1.1.0
Konfigurationsverwaltungsplan einrichten und dokumentieren CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren Manuell, deaktiviert 1.1.0
Tool für die automatisierte Konfigurationsverwaltung implementieren CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren Manuell, deaktiviert 1.1.0

Einschränkungen für die Softwarenutzung

ID: NIST SP 800-53 Rev. 4 CM-10 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konformität von Rechten an geistigem Eigentum anfordern CMA_0432 – Konformität von Rechten an geistigem Eigentum anfordern Manuell, deaktiviert 1.1.0
Nutzung von Softwarelizenzen nachverfolgen CMA_C1235 – Nutzung von Softwarelizenzen nachverfolgen Manuell, deaktiviert 1.1.0

Open Source-Software

ID: NIST SP 800-53 Rev. 4 CM-10 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Einschränken der Verwendung von Open-Source-Software CMA_C1237: Einschränken der Verwendung von Open-Source-Software Manuell, deaktiviert 1.1.0

Notfallplanung

Richtlinien und Verfahren für die Notfallplanung

ID: NIST SP 800-53 Rev. 4 CP-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Notfallplanungsrichtlinien und -verfahren überprüfen und aktualisieren CMA_C1243: Notfallplanungsrichtlinien und -verfahren überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Notfallplan

ID: NIST SP 800-53 Rev. 4 CP-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Notfallplanänderungen kommunizieren CMA_C1249 – Notfallplanänderungen kommunizieren Manuell, deaktiviert 1.1.0
Notfallpläne mit zugehörigen Plänen koordinieren CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren Manuell, deaktiviert 1.1.0
Business Continuity & Disaster Recovery entwickeln und dokumentieren CMA_0146 – Business Continuity & Disaster Recovery entwickeln und dokumentieren Manuell, deaktiviert 1.1.0
Notfallplan entwickeln CMA_C1244 – Notfallplan entwickeln Manuell, deaktiviert 1.1.0
Richtlinien und Prozeduren für die Notfallplanung entwickeln CMA_0156 – Richtlinien und Prozeduren für die Notfallplanung entwickeln Manuell, deaktiviert 1.1.0
Richtlinien und Prozeduren verteilen CMA_0185 – Richtlinien und Prozeduren verteilen Manuell, deaktiviert 1.1.0
Notfallplan überprüfen CMA_C1247 – Notfallplan überprüfen Manuell, deaktiviert 1.1.0
Notfallplan aktualisieren CMA_C1248 – Notfallplan aktualisieren Manuell, deaktiviert 1.1.0

ID: NIST SP 800-53 Rev. 4 CP-2 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Notfallpläne mit zugehörigen Plänen koordinieren CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren Manuell, deaktiviert 1.1.0

Capacity Planning

ID: NIST SP 800-53 Rev. 4 CP-2 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Kapazitätsplanung durchführen CMA_C1252 – Kapazitätsplanung durchführen Manuell, deaktiviert 1.1.0

Wiederaufnehmen wesentlicher Organisationsziele/Geschäftsfunktionen

ID: NIST SP 800-53 Rev. 4 CP-2 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Wiederaufnahme wichtiger Geschäftsfunktionen planen CMA_C1253 – Wiederaufnahme wichtiger Geschäftsfunktionen planen Manuell, deaktiviert 1.1.0

Wiederaufnehmen aller Organisationsziele/Geschäftsfunktionen

ID: NIST SP 800-53 Rev. 4 CP-2 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Alle Aufgaben und Geschäftsfunktionen wiederaufnehmen CMA_C1254 – Alle Aufgaben und Geschäftsfunktionen wiederaufnehmen Manuell, deaktiviert 1.1.0

Aufrechterhalten wesentlicher Organisationsziele/Geschäftsfunktionen

ID: NIST SP 800-53 Rev. 4 CP-2 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Fortführung wichtiger Geschäftsfunktionen planen CMA_C1255 – Fortführung wichtiger Geschäftsfunktionen planen Manuell, deaktiviert 1.1.0

Identifizieren kritischer Ressourcen

ID: NIST SP 800-53 Rev. 4 CP-2 (8) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bewertung der Auswirkungen auf die unternehmens- und anwendungskritische Bewertung ausführen CMA_0386: Durchführung einer Bewertung der geschäftlichen Auswirkungen und der Wichtigkeit von Anwendungen Manuell, deaktiviert 1.1.0

Schulungen zu Notfallplänen

ID: NIST SP 800-53 Rev. 4 CP-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Notfalltraining bereitstellen CMA_0412 – Notfalltraining bereitstellen Manuell, deaktiviert 1.1.0

Simulierte Ereignisse

ID: NIST SP 800-53 Rev. 4 CP-3 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Einbeziehen von simuliertem Notfalltraining CMA_C1260: Einbeziehen von simuliertem Notfalltraining Manuell, deaktiviert 1.1.0

Notfallplantests

ID: NIST SP 800-53 Rev. 4 CP-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Notfallplantests für Korrekturmaßnahmen initiieren CMA_C1263 – Notfallplantests für Korrekturmaßnahmen initiieren Manuell, deaktiviert 1.1.0
Ergebnisse der Notfallplantests überprüfen CMA_C1262 – Ergebnisse der Notfallplantests überprüfen Manuell, deaktiviert 1.1.0
Business Continuity & Disaster Recovery-Plan testen CMA_0509 – Business Continuity & Disaster Recovery-Plan testen Manuell, deaktiviert 1.1.0

ID: NIST SP 800-53 Rev. 4 CP-4 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Notfallpläne mit zugehörigen Plänen koordinieren CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren Manuell, deaktiviert 1.1.0

Alternativer Verarbeitungsstandort

ID: NIST SP 800-53 Rev. 4 CP-4 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Bewerten der Funktionen alternativer Verarbeitungsstandorte CMA_C1266 – Bewerten der Funktionen alternativer Verarbeitungsstandorte Manuell, deaktiviert 1.1.0
Testen des Notfallplans an einem alternativen Verarbeitungsort CMA_C1265 – Testen des Notfallplans an einem alternativen Verarbeitungsort Manuell, deaktiviert 1.1.0

Alternativer Speicherort

ID: NIST SP 800-53 Rev. 4 CP-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherstellen, dass die Schutzmaßnahmen des alternativen Speicherorts denjenigen des primären Standorts entsprechen CMA_C1268 – Sicherstellen, dass die Schutzmaßnahmen des alternativen Speicherorts denjenigen des primären Standorts entsprechen Manuell, deaktiviert 1.1.0
Alternativen Speicherstandort zum Speichern und Abrufen von Sicherungsinformationen einrichten CMA_C1267 – Alternativen Speicherstandort zum Speichern und Abrufen von Sicherungsinformationen einrichten Manuell, deaktiviert 1.1.0
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundanter Speicher muss für Speicherkonten aktiviert sein Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden Audit, Disabled 1.0.0
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0

Trennung vom primären Standort

ID: NIST SP 800-53 Rev. 4 CP-6 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Separate alternative und primäre Speicherstandorte erstellen CMA_C1269 – Separate alternative und primäre Speicherstandorte erstellen Manuell, deaktiviert 1.1.0
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundanter Speicher muss für Speicherkonten aktiviert sein Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden Audit, Disabled 1.0.0
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0

Recovery Time Objectives/Recovery Point Objectives

ID: NIST SP 800-53 Rev. 4 CP-6 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Einrichten eines alternativen Speicherstandorts, der Wiederherstellungsvorgänge unterstützt CMA_C1270: Einrichten eines alternativen Speicherstandorts, der Wiederherstellungsvorgänge unterstützt Manuell, deaktiviert 1.1.0

Zugriff

ID: NIST SP 800-53 Rev. 4 CP-6 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Potenzielle Probleme an einem alternativen Speicherort identifizieren und beheben CMA_C1271 – Potenzielle Probleme an einem alternativen Speicherort identifizieren und beheben Manuell, deaktiviert 1.1.0

Alternativer Verarbeitungsstandort

ID: NIST SP 800-53 Rev. 4 CP-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Alternativen Verarbeitungsstandort einrichten CMA_0262 – Alternativen Verarbeitungsstandort einrichten Manuell, deaktiviert 1.1.0

Trennung vom primären Standort

ID: NIST SP 800-53 Rev. 4 CP-7 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Alternativen Verarbeitungsstandort einrichten CMA_0262 – Alternativen Verarbeitungsstandort einrichten Manuell, deaktiviert 1.1.0

Zugriff

ID: NIST SP 800-53 Rev. 4 CP-7 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Alternativen Verarbeitungsstandort einrichten CMA_0262 – Alternativen Verarbeitungsstandort einrichten Manuell, deaktiviert 1.1.0

Dienstpriorität

ID: NIST SP 800-53 Rev. 4 CP-7 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Alternativen Verarbeitungsstandort einrichten CMA_0262 – Alternativen Verarbeitungsstandort einrichten Manuell, deaktiviert 1.1.0
Anforderungen für Internetdienstanbieter festlegen CMA_0278 – Anforderungen für Internetdienstanbieter festlegen Manuell, deaktiviert 1.1.0

Vorbereitung für die Verwendung

ID: NIST SP 800-53 Rev. 4 CP-7 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Vorbereiten eines alternativen Verarbeitungsstandorts für die Verwendung als Betriebsstandort CMA_C1278 – Vorbereiten eines alternativen Verarbeitungsstandorts für die Verwendung als Betriebsstandort Manuell, deaktiviert 1.1.0

Priorität von Dienstbereitstellungen

ID: NIST SP 800-53 Rev. 4 CP-8 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Anforderungen für Internetdienstanbieter festlegen CMA_0278 – Anforderungen für Internetdienstanbieter festlegen Manuell, deaktiviert 1.1.0

Sicherung des Informationssystems

ID: NIST SP 800-53 Rev. 4 CP-9 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 3.0.0
Sicherung der Informationssystemdokumentation durchführen CMA_C1289 – Sicherung der Informationssystemdokumentation durchführen Manuell, deaktiviert 1.1.0
Sicherungsrichtlinien und -prozeduren einrichten CMA_0268 – Sicherungsrichtlinien und -prozeduren einrichten Manuell, deaktiviert 1.1.0
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. Audit, Deny, Disabled 2.1.0
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. Audit, Deny, Disabled 3.0.0

Separater Speicher für kritische Daten

ID: NIST SP 800-53 Rev. 4 CP-9 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherungsinformationen separat speichern CMA_C1293 – Sicherungsinformationen separat speichern Manuell, deaktiviert 1.1.0

Übertragung an den alternativen Speicherstandort

ID: NIST SP 800-53 Rev. 4 CP-9 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherungsinformationen an einen alternativen Speicherstandort übertragen CMA_C1294 – Sicherungsinformationen an einen alternativen Speicherstandort übertragen Manuell, deaktiviert 1.1.0

Wiederherstellung und Wiederaufbau von Informationssystemen

ID: NIST SP 800-53 Rev. 4 CP-10 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ressourcen nach einer Unterbrechung wiederherstellen und neu konfigurieren CMA_C1295: Ressourcen nach einer Unterbrechung wiederherstellen und neu konfigurieren Manuell, deaktiviert 1.1.1

Transaktionswiederherstellung

ID: NIST SP 800-53 Rev. 4 CP-10 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Transaktionsbasierte Wiederherstellung implementieren CMA_C1296 – Transaktionsbasierte Wiederherstellung implementieren Manuell, deaktiviert 1.1.0

Wiederherstellung innerhalb eines Zeitraums

ID: NIST SP 800-53 Rev. 4 CP-10 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ressourcen im Betriebszustand wiederherstellen CMA_C1297: Ressourcen im Betriebszustand wiederherstellen Manuell, deaktiviert 1.1.1

Identifizierung und Authentifizierung

Richtlinien und Verfahren für Identifikation und Authentifizierung

ID: NIST SP 800-53 Rev. 4 IA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Identifikations- und Authentifizierungsrichtlinien und -prozeduren überprüfen und aktualisieren CMA_C1299 – Identifikations- und Authentifizierungsrichtlinien und -prozeduren überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Identifikation und Authentifizierung (Organisationsbenutzer)

ID: NIST SP 800-53 Rev. 4 IA-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Benutzereindeutigkeit erzwingen CMA_0250 – Benutzereindeutigkeit erzwingen Manuell, deaktiviert 1.1.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0
Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen CMA_0507 – Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen Manuell, deaktiviert 1.1.0

Netzwerkzugriff auf privilegierte Konten

ID: NIST SP 800-53 Rev. 4 IA-2 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Biometrische Authentifizierungsmechanismen anwenden CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden Manuell, deaktiviert 1.1.0

Netzwerkzugriff auf nicht privilegierte Konten

ID: NIST SP 800-53 Rev. 4 IA-2 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Biometrische Authentifizierungsmechanismen anwenden CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden Manuell, deaktiviert 1.1.0

Lokaler Zugriff auf privilegierte Konten

ID: NIST SP 800-53 Rev. 4 IA-2 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Biometrische Authentifizierungsmechanismen anwenden CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden Manuell, deaktiviert 1.1.0

Gruppenauthentifizierung

ID: NIST SP 800-53 Rev. 4 IA-2 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwendung von Einzelauthentifikatoren vorschreiben CMA_C1305: Verwendung von Einzelauthentifikatoren vorschreiben Manuell, deaktiviert 1.1.0

Remotezugriff – separates Gerät

ID: NIST SP 800-53 Rev. 4 IA-2 (11) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Biometrische Authentifizierungsmechanismen anwenden CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden Manuell, deaktiviert 1.1.0
Netzwerkgeräte identifizieren und authentifizieren CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren Manuell, deaktiviert 1.1.0

Akzeptieren von PIV-Anmeldeinformationen

ID: NIST SP 800-53 Rev. 4 IA-2 (12) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen CMA_0507 – Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen Manuell, deaktiviert 1.1.0

Bezeichnerverwaltung

ID: NIST SP 800-53 Rev. 4 IA-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Systembezeichner zuweisen CMA_0018 – Systembezeichner zuweisen Manuell, deaktiviert 1.1.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Wiederverwendung von Identifikatoren für den festgelegten Zeitraum verhindern CMA_C1314 – Wiederverwendung von Identifikatoren für den festgelegten Zeitraum verhindern Manuell, deaktiviert 1.1.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Identifizieren des Benutzerstatus

ID: NIST SP 800-53 Rev. 4 IA-4 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Identifizieren des Status einzelner Benutzer CMA_C1316: Identifizieren des Status einzelner Benutzer Manuell, deaktiviert 1.1.0

Authentifikatorverwaltung

ID: NIST SP 800-53 Rev. 4 IA-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. AuditIfNotExists, Disabled 3.1.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. AuditIfNotExists, Disabled 2.0.0
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.2.1
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.1.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Authentifikator-Typen und -Prozesse einrichten CMA_0267 – Authentifikator-Typen und -Prozesse einrichten Manuell, deaktiviert 1.1.0
Verfahren für die anfängliche Authentifikator-Verteilung einrichten CMA_0276 – Verfahren für die anfängliche Authentifikator-Verteilung einrichten Manuell, deaktiviert 1.1.0
Schulung zum Schutz von Authentifikatoren implementieren CMA_0329 – Schulung zum Schutz von Authentifikatoren implementieren Manuell, deaktiviert 1.1.0
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.2
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.2
Authentifikator-Lebensdauer und -Wiederverwendung verwalten CMA_0355 – Authentifikator-Lebensdauer und -Wiederverwendung verwalten Manuell, deaktiviert 1.1.0
Authentifikatoren verwalten CMA_C1321 – Authentifikatoren verwalten Manuell, deaktiviert 1.1.0
Authentifikatoren aktualisieren CMA_0425 – Authentifikatoren aktualisieren Manuell, deaktiviert 1.1.0
Authentifikatoren für geänderte Gruppen und Konten erneut ausstellen CMA_0426 – Authentifikatoren für geänderte Gruppen und Konten erneut ausstellen Manuell, deaktiviert 1.1.0
Identität vor der Verteilung der Authentifikatoren bestätigen CMA_0538 – Identität vor der Verteilung der Authentifikatoren bestätigen Manuell, deaktiviert 1.1.0

Kennwortbasierte Authentifizierung

ID: NIST SP 800-53 Rev. 4 IA-5 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.1.0
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. AuditIfNotExists, Disabled 3.1.0
Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. AuditIfNotExists, Disabled 2.1.0
Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. AuditIfNotExists, Disabled 2.1.0
Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. AuditIfNotExists, Disabled 2.1.0
Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. AuditIfNotExists, Disabled 2.0.0
Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen AuditIfNotExists, Disabled 2.1.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. AuditIfNotExists, Disabled 2.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.1.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Kennwortrichtlinie einrichten CMA_0256 – Kennwortrichtlinie einrichten Manuell, deaktiviert 1.1.0
Parameter für gespeicherte Geheimnisüberprüfungen implementieren CMA_0321 – Parameter für gespeicherte Geheimnisüberprüfungen implementieren Manuell, deaktiviert 1.1.0
Kennwörter mit Verschlüsselung schützen CMA_0408 – Kennwörter mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0

PKI-basierte Authentifizierung

ID: NIST SP 800-53 Rev. 4 IA-5 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Authentifikatoren und Identitäten dynamisch binden CMA_0035: Authentifikatoren und Identitäten dynamisch binden Manuell, deaktiviert 1.1.0
Authentifikator-Typen und -Prozesse einrichten CMA_0267 – Authentifikator-Typen und -Prozesse einrichten Manuell, deaktiviert 1.1.0
Parameter für die Suche nach geheimen Authentifikatoren und Verifizierern festlegen CMA_0274: Parameter für die Suche nach geheimen Authentifikatoren und Verifizierern festlegen Manuell, deaktiviert 1.1.0
Verfahren für die anfängliche Authentifikator-Verteilung einrichten CMA_0276 – Verfahren für die anfängliche Authentifikator-Verteilung einrichten Manuell, deaktiviert 1.1.0
Authentifizierte Identitäten Personen zuordnen CMA_0372: Authentifizierte Identitäten Personen zuordnen Manuell, deaktiviert 1.1.0
Zugriff auf private Schlüssel einschränken CMA_0445 – Zugriff auf private Schlüssel einschränken Manuell, deaktiviert 1.1.0
Identität vor der Verteilung der Authentifikatoren bestätigen CMA_0538 – Identität vor der Verteilung der Authentifikatoren bestätigen Manuell, deaktiviert 1.1.0

Persönliche Registrierung oder Registrierung über vertrauenswürdige Drittanbieter

ID: NIST SP 800-53 Rev. 4 IA-5 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verteilen von Authentifikatoren CMA_0184: Verteilen von Authentifikatoren Manuell, deaktiviert 1.1.0

Automatisierte Unterstützung zum Bestimmen der Kennwortsicherheit

ID: NIST SP 800-53 Rev. 4 IA-5 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Kennwortrichtlinie einrichten CMA_0256 – Kennwortrichtlinie einrichten Manuell, deaktiviert 1.1.0
Parameter für gespeicherte Geheimnisüberprüfungen implementieren CMA_0321 – Parameter für gespeicherte Geheimnisüberprüfungen implementieren Manuell, deaktiviert 1.1.0

Schutz von Authentifikatoren

ID: NIST SP 800-53 Rev. 4 IA-5 (6) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherstellen, dass autorisierte Benutzer die bereitgestellten Authentifikatoren schützen CMA_C1339: Sicherstellen, dass autorisierte Benutzer die bereitgestellten Authentifikatoren schützen Manuell, deaktiviert 1.1.0

Keine Einbettung unverschlüsselter statischer Authentifikatoren

ID: NIST SP 800-53 Rev. 4 IA-5 (7) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherstellen, dass keine unverschlüsselten statischen Authentifikatoren vorhanden sind CMA_C1340 – Sicherstellen, dass keine unverschlüsselten statischen Authentifikatoren vorhanden sind Manuell, deaktiviert 1.1.0

Auf Hardwaretoken basierende Authentifizierung

ID: NIST SP 800-53 Rev. 4 IA-5 (11) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Tokenqualitätsanforderungen erfüllen CMA_0487 – Tokenqualitätsanforderungen erfüllen Manuell, deaktiviert 1.1.0

Ablauf zwischengespeicherter Authentifikatoren

ID: NIST SP 800-53 Rev. 4 IA-5 (13) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Erzwingen des Ablaufs zwischengespeicherter Authentifikatoren CMA_C1343 – Erzwingen des Ablaufs zwischengespeicherter Authentifikatoren Manuell, deaktiviert 1.1.0

Authentifikatorrückmeldung

ID: NIST SP 800-53 Rev. 4 IA-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Feedbackinformationen während des Authentifizierungsprozesses verdecken CMA_C1344 – Feedbackinformationen während des Authentifizierungsprozesses verdecken Manuell, deaktiviert 1.1.0

Kryptografiemodulauthentifizierung

ID: NIST SP 800-53 Rev. 4 IA-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Beim kryptografischen Modul authentifizieren CMA_0021 – Beim kryptografischen Modul authentifizieren Manuell, deaktiviert 1.1.0

Identifikation und Authentifizierung (Nicht-Organisationsbenutzer)

ID: NIST SP 800-53 Rev. 4 IA-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Organisationsexterne Benutzer identifizieren und authentifizieren CMA_C1346 – Organisationsexterne Benutzer identifizieren und authentifizieren Manuell, deaktiviert 1.1.0

Akzeptanz von PIV-Anmeldeinformationen von anderen Agenturen

ID: NIST SP 800-53 Rev. 4 IA-8 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Akzeptieren von PIV-Anmeldeinformationen CMA_C1347: Akzeptieren von PIV-Anmeldeinformationen Manuell, deaktiviert 1.1.0

Akzeptieren von Anmeldeinformationen von Drittanbietern

ID: NIST SP 800-53 Rev. 4 IA-8 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nur FICAM-genehmigte Drittanbieteranmeldeinformationen akzeptieren CMA_C1348: Nur durch FICAM genehmigte Anmeldeinformationen von Drittanbietern akzeptieren Manuell, deaktiviert 1.1.0

Verwendung von durch FICAM genehmigten Produkten

ID: NIST SP 800-53 Rev. 4 IA-8 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwenden von FICAM-genehmigten Ressourcen zum Akzeptieren von Anmeldeinformationen von Drittanbietern CMA_C1349: Verwenden von durch FICAM genehmigten Ressourcen zum Akzeptieren von Anmeldeinformationen von Drittanbietern Manuell, deaktiviert 1.1.0

Verwendung von über FICAM ausgegebenen Profilen

ID: NIST SP 800-53 Rev. 4 IA-8 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Übereinstimmen mit von FICAM herausgegebenen Profilen CMA_C1350: Konformität mit von FICAM herausgegebenen Profilen Manuell, deaktiviert 1.1.0

Reaktion auf Vorfälle

Richtlinien und Verfahren für die Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 4 IR-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Richtlinien und Prozeduren zur Reaktion auf Vorfälle überprüfen und aktualisieren CMA_C1352 – Richtlinien und Prozeduren zur Reaktion auf Vorfälle überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Schulung zur Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 4 IR-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Training zu Informationslecks bereitstellen CMA_0413 – Training zu Informationslecks bereitstellen Manuell, deaktiviert 1.1.0

Simulierte Ereignisse

ID: NIST SP 800-53 Rev. 4 IR-2 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Integrieren simulierter Ereignisse in das Training zur Reaktion auf Vorfälle CMA_C1356: Integrieren simulierter Ereignisse in die Schulung zur Reaktion auf Vorfälle Manuell, deaktiviert 1.1.0

Automatisierte Schulungsumgebungen

ID: NIST SP 800-53 Rev. 4 IR-2 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Automatisierte Trainingsumgebung bereitstellen CMA_C1357 – Automatisierte Trainingsumgebung bereitstellen Manuell, deaktiviert 1.1.0

Tests zur Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 4 IR-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Testen von Reaktionen auf Vorfälle durchführen CMA_0060: Durchführung von Tests zur Reaktion auf Vorfälle Manuell, deaktiviert 1.1.0
Informationssicherheitsprogramm einrichten CMA_0263 – Informationssicherheitsprogramm einrichten Manuell, deaktiviert 1.1.0
Simulationsangriffe ausführen CMA_0486: Ausführen von Simulationsangriffen Manuell, deaktiviert 1.1.0

ID: NIST SP 800-53 Rev. 4 IR-3 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Testen von Reaktionen auf Vorfälle durchführen CMA_0060: Durchführung von Tests zur Reaktion auf Vorfälle Manuell, deaktiviert 1.1.0
Informationssicherheitsprogramm einrichten CMA_0263 – Informationssicherheitsprogramm einrichten Manuell, deaktiviert 1.1.0
Simulationsangriffe ausführen CMA_0486: Ausführen von Simulationsangriffen Manuell, deaktiviert 1.1.0

Behandlung von Vorfällen

ID: NIST SP 800-53 Rev. 4 IR-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationssicherheitsereignisse bewerten CMA_0013 – Informationssicherheitsereignisse bewerten Manuell, deaktiviert 1.1.0
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Notfallpläne mit zugehörigen Plänen koordinieren CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren Manuell, deaktiviert 1.1.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Sicherheitsvorkehrungen entwickeln CMA_0161 – Sicherheitsvorkehrungen entwickeln Manuell, deaktiviert 1.1.0
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.2.0
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.1.0
Netzwerkschutz aktivieren CMA_0238 – Netzwerkschutz aktivieren Manuell, deaktiviert 1.1.0
Kontaminierte Informationen eliminieren CMA_0253 – Kontaminierte Informationen eliminieren Manuell, deaktiviert 1.1.0
Aktionen als Reaktion auf Informationslecks ausführen CMA_0281 – Aktionen als Reaktion auf Informationslecks ausführen Manuell, deaktiviert 1.1.0
Vorfallbearbeitung implementieren CMA_0318 – Vorfallbearbeitung implementieren Manuell, deaktiviert 1.1.0
Plan zur Reaktion auf Vorfälle beibehalten CMA_0352 – Plan zur Reaktion auf Vorfälle beibehalten Manuell, deaktiviert 1.1.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
Eingeschränkte Benutzer anzeigen und untersuchen CMA_0545 – Eingeschränkte Benutzer anzeigen und untersuchen Manuell, deaktiviert 1.1.0

Automatisierte Prozesse zur Behandlung von Vorfällen

ID: NIST SP 800-53 Rev. 4 IR-4 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Netzwerkschutz aktivieren CMA_0238 – Netzwerkschutz aktivieren Manuell, deaktiviert 1.1.0
Vorfallbearbeitung implementieren CMA_0318 – Vorfallbearbeitung implementieren Manuell, deaktiviert 1.1.0

Dynamische Neukonfiguration

ID: NIST SP 800-53 Rev. 4 IR-4 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Dynamische Rekonfiguration der vom Kunden bereitgestellten Ressourcen einbeziehen CMA_C1364 – Dynamische Rekonfiguration der vom Kunden bereitgestellten Ressourcen einbeziehen Manuell, deaktiviert 1.1.0

Fortsetzung von Vorgängen

ID: NIST SP 800-53 Rev. 4 IR-4 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Identifizierung von Vorfallsklassen und ergriffene Aktionen CMA_C1365: Identifizierung von Vorfallsklassen und ergriffene Aktionen Manuell, deaktiviert 1.1.0

Korrelation von Informationen

ID: NIST SP 800-53 Rev. 4 IR-4 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Vorfallbearbeitung implementieren CMA_0318 – Vorfallbearbeitung implementieren Manuell, deaktiviert 1.1.0

Insiderbedrohungen – spezielle Methoden

ID: NIST SP 800-53 Rev. 4 IR-4 (6) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Implementieren der Funktion zur Behandlung von Vorfällen CMA_C1367: Implementieren der Funktion zur Behandlung von Vorfällen Manuell, deaktiviert 1.1.0

Korrelation mit externen Organisationen

ID: NIST SP 800-53 Rev. 4 IR-4 (8) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Koordinieren mit externen Organisationen, um eine organisationsübergreifende Perspektive zu erreichen CMA_C1368: Koordinieren mit externen Organisationen, um eine organisationsübergreifende Perspektive zu gewinnen Manuell, deaktiviert 1.1.0

Überwachen von Vorfällen

ID: NIST SP 800-53 Rev. 4 IR-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.2.0
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.1.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Automatisierte Meldung

ID: NIST SP 800-53 Rev. 4 IR-6 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Security Operations dokumentieren CMA_0202 – Security Operations dokumentieren Manuell, deaktiviert 1.1.0

ID: NIST SP 800-53 Rev. 4 IR-6 (2) Zuständigkeit: Kund*innen

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.2.0
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.1.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Unterstützung bei der Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 4 IR-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Security Operations dokumentieren CMA_0202 – Security Operations dokumentieren Manuell, deaktiviert 1.1.0

Automatisierungsunterstützung für die Verfügbarkeit von Informationen/Support

ID: NIST SP 800-53 Rev. 4 IR-7 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Netzwerkschutz aktivieren CMA_0238 – Netzwerkschutz aktivieren Manuell, deaktiviert 1.1.0
Kontaminierte Informationen eliminieren CMA_0253 – Kontaminierte Informationen eliminieren Manuell, deaktiviert 1.1.0
Aktionen als Reaktion auf Informationslecks ausführen CMA_0281 – Aktionen als Reaktion auf Informationslecks ausführen Manuell, deaktiviert 1.1.0
Vorfallbearbeitung implementieren CMA_0318 – Vorfallbearbeitung implementieren Manuell, deaktiviert 1.1.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Eingeschränkte Benutzer anzeigen und untersuchen CMA_0545 – Eingeschränkte Benutzer anzeigen und untersuchen Manuell, deaktiviert 1.1.0

Koordination mit externen Anbietern

ID: NIST SP 800-53 Rev. 4 IR-7 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Einrichten einer Beziehung zwischen der Funktion zur Reaktion auf Vorfälle und externen Anbietern CMA_C1376: Einrichten einer Beziehung zwischen der Funktion zur Reaktion auf Vorfälle und externen Anbietern Manuell, deaktiviert 1.1.0
Personal für Reaktion auf Vorfälle identifizieren CMA_0301: Identifizieren von Mitarbeitern für die Reaktion auf Vorfälle Manuell, deaktiviert 1.1.0

Plan zur Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 4 IR-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationssicherheitsereignisse bewerten CMA_0013 – Informationssicherheitsereignisse bewerten Manuell, deaktiviert 1.1.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Vorfallbearbeitung implementieren CMA_0318 – Vorfallbearbeitung implementieren Manuell, deaktiviert 1.1.0
Aufzeichnungen von Datensicherheitsverletzungen verwalten CMA_0351 – Aufzeichnungen von Datensicherheitsverletzungen verwalten Manuell, deaktiviert 1.1.0
Plan zur Reaktion auf Vorfälle beibehalten CMA_0352 – Plan zur Reaktion auf Vorfälle beibehalten Manuell, deaktiviert 1.1.0
Plan zur Reaktion auf Vorfälle schützen CMA_0405 – Plan zur Reaktion auf Vorfälle schützen Manuell, deaktiviert 1.1.0

Reaktion auf Informationslecks

ID: NIST SP 800-53 Rev. 4 IR-9 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Kontaminierte Informationen eliminieren CMA_0253 – Kontaminierte Informationen eliminieren Manuell, deaktiviert 1.1.0
Aktionen als Reaktion auf Informationslecks ausführen CMA_0281 – Aktionen als Reaktion auf Informationslecks ausführen Manuell, deaktiviert 1.1.0
Kontaminierte Systeme und Komponenten identifizieren CMA_0300: Identifizieren kontaminierter Systeme und Komponenten Manuell, deaktiviert 1.1.0
Identifizieren offengelegter Informationen CMA_0303: Identifizieren offengelegter Informationen Manuell, deaktiviert 1.1.0
Isolieren von Informationslecks CMA_0346: Isolieren von Informationslecks Manuell, deaktiviert 1.1.0

Zuständiges Personal

ID: NIST SP 800-53 Rev. 4 IR-9 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal für Reaktion auf Vorfälle identifizieren CMA_0301: Identifizieren von Mitarbeitern für die Reaktion auf Vorfälle Manuell, deaktiviert 1.1.0

Training

ID: NIST SP 800-53 Rev. 4 IR-9 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Training zu Informationslecks bereitstellen CMA_0413 – Training zu Informationslecks bereitstellen Manuell, deaktiviert 1.1.0

Vorgänge nach einem Leck

ID: NIST SP 800-53 Rev. 4 IR-9 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Prozeduren zur Reaktion auf Datenlecks entwickeln CMA_0162: Entwickeln von Verfahren zur Reaktion auf Datenlecks Manuell, deaktiviert 1.1.0

Offenlegung gegenüber nicht autorisiertem Personal

ID: NIST SP 800-53 Rev. 4 IR-9 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsvorkehrungen entwickeln CMA_0161 – Sicherheitsvorkehrungen entwickeln Manuell, deaktiviert 1.1.0

Wartung

Richtlinien und Verfahren für die Systemwartung

ID: NIST SP 800-53 Rev. 4 MA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemwartungsrichtlinien und -prozeduren überprüfen und aktualisieren CMA_C1395 – Systemwartungsrichtlinien und -prozeduren überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Kontrollierte Wartung

ID: NIST SP 800-53 Rev. 4 MA-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Wartungs- und Reparaturaktivitäten steuern CMA_0080 – Wartungs- und Reparaturaktivitäten steuern Manuell, deaktiviert 1.1.0
Medienbereinigungsmechanismus verwenden CMA_0208 – Medienbereinigungsmechanismus verwenden Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten Manuell, deaktiviert 1.1.0

Automatisierte Wartungsaktivitäten

ID: NIST SP 800-53 Rev. 4 MA-2 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Remotewartungsaktivitäten automatisieren CMA_C1402 – Remotewartungsaktivitäten automatisieren Manuell, deaktiviert 1.1.0
Vollständige Aufzeichnungen für Remotewartungsaktivitäten erstellen CMA_C1403 – Vollständige Aufzeichnungen für Remotewartungsaktivitäten erstellen Manuell, deaktiviert 1.1.0

Wartungswerkzeuge

ID: NIST SP 800-53 Rev. 4 MA-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Wartungs- und Reparaturaktivitäten steuern CMA_0080 – Wartungs- und Reparaturaktivitäten steuern Manuell, deaktiviert 1.1.0
Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten Manuell, deaktiviert 1.1.0

Überprüfen der Werkzeuge

ID: NIST SP 800-53 Rev. 4 MA-3 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Wartungs- und Reparaturaktivitäten steuern CMA_0080 – Wartungs- und Reparaturaktivitäten steuern Manuell, deaktiviert 1.1.0
Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten Manuell, deaktiviert 1.1.0

Überprüfen von Medien

ID: NIST SP 800-53 Rev. 4 MA-3 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Wartungs- und Reparaturaktivitäten steuern CMA_0080 – Wartungs- und Reparaturaktivitäten steuern Manuell, deaktiviert 1.1.0
Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten Manuell, deaktiviert 1.1.0

Vermeidung einer unbefugten Entfernung

ID: NIST SP 800-53 Rev. 4 MA-3 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Wartungs- und Reparaturaktivitäten steuern CMA_0080 – Wartungs- und Reparaturaktivitäten steuern Manuell, deaktiviert 1.1.0
Medienbereinigungsmechanismus verwenden CMA_0208 – Medienbereinigungsmechanismus verwenden Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten Manuell, deaktiviert 1.1.0

Nichtlokale Wartung

ID: NIST SP 800-53 Rev. 4 MA-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten Manuell, deaktiviert 1.1.0

Dokumentieren von nichtlokalen Wartungsaktivitäten

ID: NIST SP 800-53 Rev. 4 MA-4 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten CMA_0364 – Nicht lokale Wartungs- und Diagnoseaktivitäten verwalten Manuell, deaktiviert 1.1.0

Vergleichbares Sicherheits- bzw. Bereinigungssystem

ID: NIST SP 800-53 Rev. 4 MA-4 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Durchführen aller nicht lokalen Wartungen CMA_C1417: Durchführen aller nicht lokalen Wartungen Manuell, deaktiviert 1.1.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 4 MA-4 (6) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Implementieren kryptografischer Mechanismen CMA_C1419: Implementieren kryptografischer Mechanismen Manuell, deaktiviert 1.1.0

Wartungsmitarbeiter

ID: NIST SP 800-53 Rev. 4 MA-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Mitarbeiter zur Überwachung nicht autorisierter Wartungsaktivitäten bestimmen CMA_C1422 – Mitarbeiter zur Überwachung nicht autorisierter Wartungsaktivitäten bestimmen Manuell, deaktiviert 1.1.0
Liste der autorisierten Remotewartungsmitarbeiter verwalten CMA_C1420 – Liste der autorisierten Remotewartungsmitarbeiter verwalten Manuell, deaktiviert 1.1.0
Wartungsmitarbeiter verwalten CMA_C1421 – Wartungsmitarbeiter verwalten Manuell, deaktiviert 1.1.0

Mitarbeiter ohne entsprechende Zugangsberechtigungen

ID: NIST SP 800-53 Rev. 4 MA-5 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Medienbereinigungsmechanismus verwenden CMA_0208 – Medienbereinigungsmechanismus verwenden Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0

Rechtzeitige Wartung

ID: NIST SP 800-53 Rev. 4 MA-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Rechtzeitigen Wartungssupport bieten CMA_C1425 : Rechtzeitigen Wartungssupport bieten Manuell, deaktiviert 1.1.0

Medienschutz

Richtlinien und Verfahren zum Medienschutz

ID: NIST SP 800-53 Rev. 4 MP-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Richtlinien und Prozeduren für den Medienschutz überprüfen und aktualisieren CMA_C1427 – Richtlinien und Prozeduren für den Medienschutz überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Medienzugriff

ID: NIST SP 800-53 Rev. 4 MP-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0

Medienkennzeichnung

ID: NIST SP 800-53 Rev. 4 MP-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0

Medienspeicher

ID: NIST SP 800-53 Rev. 4 MP-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Medienbereinigungsmechanismus verwenden CMA_0208 – Medienbereinigungsmechanismus verwenden Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0

Medientransport

ID: NIST SP 800-53 Rev. 4 MP-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
Transport von Ressourcen verwalten CMA_0370 – Transport von Ressourcen verwalten Manuell, deaktiviert 1.1.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 4 MP-5 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
Transport von Ressourcen verwalten CMA_0370 – Transport von Ressourcen verwalten Manuell, deaktiviert 1.1.0

Medienbereinigung

ID: NIST SP 800-53 Rev. 4 MP-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Medienbereinigungsmechanismus verwenden CMA_0208 – Medienbereinigungsmechanismus verwenden Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0

Überprüfen/Genehmigen/Überwachen/Dokumentieren/Verifizieren

ID: NIST SP 800-53 Rev. 4 MP-6 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Medienbereinigungsmechanismus verwenden CMA_0208 – Medienbereinigungsmechanismus verwenden Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0

Testen von Arbeitsgeräten

ID: NIST SP 800-53 Rev. 4 MP-6 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Medienbereinigungsmechanismus verwenden CMA_0208 – Medienbereinigungsmechanismus verwenden Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0

Verwenden von Medien

ID: NIST SP 800-53 Rev. 4 MP-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Verwendung tragbarer Speichergeräte steuern CMA_0083 – Verwendung tragbarer Speichergeräte steuern Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
Medienverwendung einschränken CMA_0450 – Medienverwendung einschränken Manuell, deaktiviert 1.1.0

Verhindern der Verwendung ohne Besitzer

ID: NIST SP 800-53 Rev. 4 MP-7 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Verwendung tragbarer Speichergeräte steuern CMA_0083 – Verwendung tragbarer Speichergeräte steuern Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
Medienverwendung einschränken CMA_0450 – Medienverwendung einschränken Manuell, deaktiviert 1.1.0

Physischer Schutz und Schutz der Umgebung

Richtlinien und Verfahren für den physischen Schutz und Schutz der Umgebung

ID: NIST SP 800-53 Rev. 4 PE-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physische und umweltbezogene Richtlinien und Verfahren überprüfen und aktualisieren CMA_C1446 – Physische und umweltbezogene Richtlinien und Verfahren überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Autorisierungen für physischen Zugriff

ID: NIST SP 800-53 Rev. 4 PE-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physischen Zugriff steuern CMA_0081 – Physischen Zugriff steuern Manuell, deaktiviert 1.1.0

Steuerung des physischen Zugriffs

ID: NIST SP 800-53 Rev. 4 PE-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physischen Zugriff steuern CMA_0081 – Physischen Zugriff steuern Manuell, deaktiviert 1.1.0
Verwaltungsprozess physischer Schlüssel definieren CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren Manuell, deaktiviert 1.1.0
Ressourcenbestand einrichten und verwalten CMA_0266 – Ressourcenbestand einrichten und verwalten Manuell, deaktiviert 1.1.0
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0

Zugriffssteuerung für Übertragungsmedium

ID: NIST SP 800-53 Rev. 4 PE-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physischen Zugriff steuern CMA_0081 – Physischen Zugriff steuern Manuell, deaktiviert 1.1.0
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0

Zugriffssteuerung für Ausgabegeräte

ID: NIST SP 800-53 Rev. 4 PE-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physischen Zugriff steuern CMA_0081 – Physischen Zugriff steuern Manuell, deaktiviert 1.1.0
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten Manuell, deaktiviert 1.1.0

Eindringalarme/Überwachungsgeräte

ID: NIST SP 800-53 Rev. 4 PE-6 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Alarmsystem installieren CMA_0338 – Alarmsystem installieren Manuell, deaktiviert 1.1.0
Sicheres Überwachungskamerasystem verwalten CMA_0354 – Sicheres Überwachungskamerasystem verwalten Manuell, deaktiviert 1.1.0

Datensätze von Besucherzugriffen

ID: NIST SP 800-53 Rev. 4 PE-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physischen Zugriff steuern CMA_0081 – Physischen Zugriff steuern Manuell, deaktiviert 1.1.0
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0

Notbeleuchtung

ID: NIST SP 800-53 Rev. 4 PE-12 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Automatische Notbeleuchtung verwenden CMA_0209 – Automatische Notbeleuchtung verwenden Manuell, deaktiviert 1.1.0

Brandschutz

ID: NIST SP 800-53 Rev. 4 PE-13 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0

Erkennungsgeräte/-systeme

ID: NIST SP 800-53 Rev. 4 PE-13 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Implementieren einer Penetrationstestmethodik CMA_0306: Implementieren einer Penetrationstestmethodik Manuell, deaktiviert 1.1.0
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0
Simulationsangriffe ausführen CMA_0486: Ausführen von Simulationsangriffen Manuell, deaktiviert 1.1.0

Bekämpfungsgeräte/-systeme

ID: NIST SP 800-53 Rev. 4 PE-13 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0

Automatische Brandbekämpfung

ID: NIST SP 800-53 Rev. 4 PE-13 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0

Temperatur- und Feuchtigkeitskontrollen

ID: NIST SP 800-53 Rev. 4 PE-14 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0

Überwachung mit Alarmen/Benachrichtigungen

ID: NIST SP 800-53 Rev. 4 PE-14 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0
Alarmsystem installieren CMA_0338 – Alarmsystem installieren Manuell, deaktiviert 1.1.0

Wasserschadenschutz

ID: NIST SP 800-53 Rev. 4 PE-15 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0

Lieferung und Entfernung

ID: NIST SP 800-53 Rev. 4 PE-16 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Anforderungen für die Verwaltung von Ressourcen definieren CMA_0125 – Anforderungen für die Verwaltung von Ressourcen definieren Manuell, deaktiviert 1.1.0
Transport von Ressourcen verwalten CMA_0370 – Transport von Ressourcen verwalten Manuell, deaktiviert 1.1.0

Alternativer Arbeitsort

ID: NIST SP 800-53 Rev. 4 PE-17 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren Manuell, deaktiviert 1.1.0

Standort der Informationssystemkomponenten

ID: NIST SP 800-53 Rev. 4 PE-18 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren Manuell, deaktiviert 1.1.0

Planung

Richtlinien und Verfahren für die Sicherheitsplanung

ID: NIST SP 800-53 Rev. 4 PL-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Planungsrichtlinien und -prozeduren überprüfen und aktualisieren CMA_C1491– Planungsrichtlinien und -prozeduren überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Systemsicherheitsplan

ID: NIST SP 800-53 Rev. 4 PL-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemsicherheitsplan entwickeln und einrichten CMA_0151 – Systemsicherheitsplan entwickeln und einrichten Manuell, deaktiviert 1.1.0
Informationssicherheitsrichtlinien und -prozeduren entwickeln CMA_0158 – Informationssicherheitsrichtlinien und -prozeduren entwickeln Manuell, deaktiviert 1.1.0
SSP entwickeln, das Kriterien erfüllt CMA_C1492 – SSP entwickeln, das Kriterien erfüllt Manuell, deaktiviert 1.1.0
Datenschutzprogramm einrichten CMA_0257 – Datenschutzprogramm einrichten Manuell, deaktiviert 1.1.0
Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen Manuell, deaktiviert 1.1.0
Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren Manuell, deaktiviert 1.1.0

Planen/Koordinieren mit anderen Organisationsentitäten

ID: NIST SP 800-53 Rev. 4 PL-2 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemsicherheitsplan entwickeln und einrichten CMA_0151 – Systemsicherheitsplan entwickeln und einrichten Manuell, deaktiviert 1.1.0
Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen Manuell, deaktiviert 1.1.0
Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren Manuell, deaktiviert 1.1.0

Verhaltensregeln

ID: NIST SP 800-53 Rev. 4 PL-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln Manuell, deaktiviert 1.1.0
Verhaltensregeln der Organisation entwickeln CMA_0159 – Verhaltensregeln der Organisation entwickeln Manuell, deaktiviert 1.1.0
Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren CMA_0193 – Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren Manuell, deaktiviert 1.1.0
Verhaltensregeln und Zugriffsvereinbarungen erzwingen CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen Manuell, deaktiviert 1.1.0
Unfaire Praktiken verbieten CMA_0396 – Unfaire Praktiken verbieten Manuell, deaktiviert 1.1.0
Überarbeitete Verhaltensregeln überprüfen und unterzeichnen CMA_0465 – Überarbeitete Verhaltensregeln überprüfen und unterzeichnen Manuell, deaktiviert 1.1.0
Informationssicherheitsrichtlinien aktualisieren CMA_0518 – Informationssicherheitsrichtlinien aktualisieren Manuell, deaktiviert 1.1.0
Verhaltensregeln und Zugriffsvereinbarungen aktualisieren CMA_0521 – Verhaltensregeln und Zugriffsvereinbarungen aktualisieren Manuell, deaktiviert 1.1.0
Verhaltensregeln und Zugriffsvereinbarungen alle 3 Jahre aktualisieren CMA_0522 – Verhaltensregeln und Zugriffsvereinbarungen alle 3 Jahre aktualisieren Manuell, deaktiviert 1.1.0

Einschränkungen für soziale Medien und Networking

ID: NIST SP 800-53 Rev. 4 PL-4 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln Manuell, deaktiviert 1.1.0

Informationssicherheitsarchitektur

ID: NIST SP 800-53 Rev. 4 PL-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Betriebskonzept (CONOPS) entwickeln CMA_0141 – Betriebskonzept (CONOPS) entwickeln Manuell, deaktiviert 1.1.0
Informationssicherheitsarchitektur überprüfen und aktualisieren CMA_C1504 – Informationssicherheitsarchitektur überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Personalsicherheit

Richtlinien und Verfahren für die Personalsicherheit

ID: NIST SP 800-53 Rev. 4 PS-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsrichtlinien und -prozeduren für Mitarbeiter überprüfen und aktualisieren CMA_C1507 – Sicherheitsrichtlinien und -prozeduren für Mitarbeiter überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Risikobezeichnung für Position

ID: NIST SP 800-53 Rev. 4 PS-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zuweisen von Risikobezeichnungen CMA_0016: Zuweisen von Risikobezeichnungen Manuell, deaktiviert 1.1.0

Personalscreening

ID: NIST SP 800-53 Rev. 4 PS-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal mit Zugriff auf klassifizierte Informationen löschen CMA_0054 – Personal mit Zugriff auf klassifizierte Informationen löschen Manuell, deaktiviert 1.1.0
Personalscreening implementieren CMA_0322 – Personalscreening implementieren Manuell, deaktiviert 1.1.0
Einzelpersonen mit definierter Häufigkeit erneut überprüfen CMA_C1512 – Einzelpersonen mit definierter Häufigkeit erneut überprüfen Manuell, deaktiviert 1.1.0

Informationen mit besonderen Schutzmaßnahmen

ID: NIST SP 800-53 Rev. 4 PS-3 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0

Beendigung des Mitarbeiterverhältnisses

ID: NIST SP 800-53 Rev. 4 PS-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nach Beendigung Gespräch über das Ausscheiden führen CMA_0058 – Nach Beendigung Gespräch über das Ausscheiden führen Manuell, deaktiviert 1.1.0
Authentifikatoren bei Beendigung deaktivieren CMA_0169 – Authentifikatoren bei Beendigung deaktivieren Manuell, deaktiviert 1.1.0
Bei Kündigung oder Wechsel benachrichtigen CMA_0381 – Bei Kündigung oder Wechsel benachrichtigen Manuell, deaktiviert 1.1.0
Vor Datendiebstahl durch ausscheidende Mitarbeiter schützen und diesen verhindern CMA_0398 – Vor Datendiebstahl durch ausscheidende Mitarbeiter schützen und diesen verhindern Manuell, deaktiviert 1.1.0
Daten von gekündigten Benutzern aufbewahren CMA_0455 – Daten von gekündigten Benutzern aufbewahren Manuell, deaktiviert 1.1.0

Automatisierte Benachrichtigung

ID: NIST SP 800-53 Rev. 4 PS-4 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Automatisieren der Benachrichtigung über Mitarbeiterkündigungen CMA_C1521 – Automatisieren der Benachrichtigung über Mitarbeiterkündigungen Manuell, deaktiviert 1.1.0

Personalübertragung

ID: NIST SP 800-53 Rev. 4 PS-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Aktionen zum Wechseln oder Neuzuweisen initiieren CMA_0333 – Aktionen zum Wechseln oder Neuzuweisen initiieren Manuell, deaktiviert 1.1.0
Zugriffsberechtigungen bei Personalwechsel ändern CMA_0374 – Zugriffsberechtigungen bei Personalwechsel ändern Manuell, deaktiviert 1.1.0
Bei Kündigung oder Wechsel benachrichtigen CMA_0381 – Bei Kündigung oder Wechsel benachrichtigen Manuell, deaktiviert 1.1.0
Zugriff bei Personalwechsel neu bewerten CMA_0424 – Zugriff bei Personalwechsel neu bewerten Manuell, deaktiviert 1.1.0

Zugriffsvereinbarungen

ID: NIST SP 800-53 Rev. 4 PS-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Organisationszugriffsvereinbarungen dokumentieren CMA_0192 – Organisationszugriffsvereinbarungen dokumentieren Manuell, deaktiviert 1.1.0
Verhaltensregeln und Zugriffsvereinbarungen erzwingen CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen Manuell, deaktiviert 1.1.0
Rechtzeitige Unterzeichnung oder erneute Unterzeichnung von Zugriffsvereinbarungen sicherstellen CMA_C1528 – Rechtzeitige Unterzeichnung oder erneute Unterzeichnung von Zugriffsvereinbarungen sicherstellen Manuell, deaktiviert 1.1.0
Benutzer zum Unterzeichnen der Zugriffsvereinbarung auffordern CMA_0440 – Benutzer zum Unterzeichnen der Zugriffsvereinbarung auffordern Manuell, deaktiviert 1.1.0
Organisationszugriffsvereinbarungen aktualisieren CMA_0520 – Organisationszugriffsvereinbarungen aktualisieren Manuell, deaktiviert 1.1.0

Personalsicherheit von Dritten

ID: NIST SP 800-53 Rev. 4 PS-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsanforderungen für Mitarbeiter von Drittanbietern dokumentieren CMA_C1531 – Sicherheitsanforderungen für Mitarbeiter von Drittanbietern dokumentieren Manuell, deaktiviert 1.1.0
Sicherheitsanforderungen für Mitarbeiter von Drittanbietern einrichten CMA_C1529 – Öffentliche Verfügbarkeit der Informationen zum Datenschutzprogramm sicherstellen Manuell, deaktiviert 1.1.0
Drittanbieterkonformität überwachen CMA_C1533 – Drittanbieterkonformität überwachen Manuell, deaktiviert 1.1.0
Benachrichtigung über die Versetzung oder Kündigung von Mitarbeitern von Drittanbietern anfordern CMA_C1532 – Benachrichtigung über die Versetzung oder Kündigung von Mitarbeitern von Drittanbietern anfordern Manuell, deaktiviert 1.1.0
Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern CMA_C1530 – Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern Manuell, deaktiviert 1.1.0

Personalsanktionen

ID: NIST SP 800-53 Rev. 4 PS-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Formelle Sanktionsprozesse implementieren CMA_0317 – Formelle Sanktionsprozesse implementieren Manuell, deaktiviert 1.1.0
Mitarbeiter über Sanktionen benachrichtigen CMA_0380 – Mitarbeiter über Sanktionen benachrichtigen Manuell, deaktiviert 1.1.0

Risikobewertung

Richtlinien und Verfahren für die Risikobewertung

ID: NIST SP 800-53 Rev. 4 RA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Risikobewertungsrichtlinien und -prozeduren überprüfen und aktualisieren CMA_C1537 – Risikobewertungsrichtlinien und -prozeduren überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Sicherheitskategorisierung

ID: NIST SP 800-53 Rev. 4 RA-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationen kategorisieren CMA_0052 – Informationen kategorisieren Manuell, deaktiviert 1.1.0
Geschäftsklassifizierungsschemas entwickeln CMA_0155 – Geschäftsklassifizierungsschemas entwickeln Manuell, deaktiviert 1.1.0
Genehmigung der Sicherheitskategorisierung sicherstellen CMA_C1540 – Genehmigung der Sicherheitskategorisierung sicherstellen Manuell, deaktiviert 1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen Manuell, deaktiviert 1.1.0

Risikobewertung

ID: NIST SP 800-53 Rev. 4 RA-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Risikobewertung durchführen CMA_C1543 – Risikobewertung durchführen Manuell, deaktiviert 1.1.0
Risikobewertung durchführen und Ergebnisse verteilen CMA_C1544 – Risikobewertung durchführen und Ergebnisse verteilen Manuell, deaktiviert 1.1.0
Risikobewertung durchführen und Ergebnisse dokumentieren CMA_C1542 – Risikobewertung durchführen und Ergebnisse dokumentieren Manuell, deaktiviert 1.1.0
Risikobewertung durchführen CMA_0388 – Risikobewertung durchführen Manuell, deaktiviert 1.1.0

Überprüfung auf Sicherheitsrisiken

ID: NIST SP 800-53 Rev. 4 RA-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Disabled 3.0.0
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. AuditIfNotExists, Disabled 4.1.0
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. AuditIfNotExists, Disabled 1.0.0
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.1.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 1.0.1
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 3.0.0
Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren. AuditIfNotExists, Disabled 1.0.0

Update von Toolfunktionen

ID: NIST SP 800-53 Rev. 4 RA-5 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Aktualisierung nach Häufigkeit/vor neuer Überprüfung/bei Identifikation

ID: NIST SP 800-53 Rev. 4 RA-5 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Umfang/Abdeckungstiefe

ID: NIST SP 800-53 Rev. 4 RA-5 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Erkennbare Informationen

ID: NIST SP 800-53 Rev. 4 RA-5 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ergreifen von Maßnahmen als Reaktion auf Kundeninformationen CMA_C1554 – Ergreifen von Maßnahmen als Reaktion auf Kundeninformationen Manuell, deaktiviert 1.1.0

Privilegierter Zugriff

ID: NIST SP 800-53 Rev. 4 RA-5 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Implementierung eines privilegierten Zugangs für die Durchführung von Schwachstellen-Scans CMA_C1555: Implementieren eines privilegierten Zugriffs für die Durchführung von Schwachstellen-Scans Manuell, deaktiviert 1.1.0

Automatisierte Trendanalysen

ID: NIST SP 800-53 Rev. 4 RA-5 (6) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsschwächen beobachten und melden CMA_0384: Beobachten und Melden von Sicherheitsschwächen Manuell, deaktiviert 1.1.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Durchführen der Bedrohungsmodellierung CMA_0392: Durchführen der Bedrohungsmodellierung Manuell, deaktiviert 1.1.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Auswerten der historischen Überwachungsprotokolle

ID: NIST SP 800-53 Rev. 4 RA-5 (8) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Überwachungsdatensätze korrelieren CMA_0087 – Überwachungsdatensätze korrelieren Manuell, deaktiviert 1.1.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen CMA_0277 – Anforderungen für die Überprüfung und Berichterstellung von Überwachungen festlegen Manuell, deaktiviert 1.1.0
Überprüfung, Analyse und Berichterstellung der Überwachung integrieren CMA_0339 – Überprüfung, Analyse und Berichterstellung der Überwachung integrieren Manuell, deaktiviert 1.1.0
Cloud App Security in SIEM integrieren CMA_0340 – Cloud App Security in SIEM integrieren Manuell, deaktiviert 1.1.0
Kontobereitstellungsprotokolle überprüfen CMA_0460 – Kontobereitstellungsprotokolle überprüfen Manuell, deaktiviert 1.1.0
Administratorzuweisungen wöchentlich überprüfen CMA_0461 – Administratorzuweisungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0
Übersicht über den Cloud-Identitätsbericht überprüfen CMA_0468 – Übersicht über den Cloud-Identitätsbericht überprüfen Manuell, deaktiviert 1.1.0
Überwachte Ordnerzugriffsereignisse überprüfen CMA_0471 – Überwachte Ordnerzugriffsereignisse überprüfen Manuell, deaktiviert 1.1.0
Exploit-Schutzereignisse überprüfen CMA_0472: Exploit-Schutz-Ereignisse überprüfen Manuell, deaktiviert 1.1.0
Datei- und Ordneraktivitäten überprüfen CMA_0473 – Datei- und Ordneraktivitäten überprüfen Manuell, deaktiviert 1.1.0
Rollengruppenänderungen wöchentlich überprüfen CMA_0476 – Rollengruppenänderungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0

Korrelieren von Überprüfungsinformationen

ID: NIST SP 800-53 Rev. 4 RA-5 (10) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren CMA_C1558: Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren Manuell, deaktiviert 1.1.1

System- und Diensterwerb

Richtlinien und Verfahren für den System- und Diensterwerb

ID: NIST SP 800-53 Rev. 4 SA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
System- und Dienstabrufsrichtlinien und -prozeduren überprüfen und aktualisieren CMA_C1560 – System- und Dienstabrufsrichtlinien und -prozeduren überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Zuordnung von Ressourcen

ID: NIST SP 800-53 Rev. 4 SA-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Geschäftsziele und IT-Ziele ausrichten CMA_0008 – Geschäftsziele und IT-Ziele ausrichten Manuell, deaktiviert 1.1.0
Ressourcen bei der Ermittlung der Anforderungen an das Informationssystem zuweisen CMA_C1561 – Ressourcen bei der Ermittlung der Anforderungen an das Informationssystem zuweisen Manuell, deaktiviert 1.1.0
Separaten Posten in der Budgetierungsdokumentation einrichten CMA_C1563 – Separaten Posten in der Budgetierungsdokumentation einrichten Manuell, deaktiviert 1.1.0
Datenschutzprogramm einrichten CMA_0257 – Datenschutzprogramm einrichten Manuell, deaktiviert 1.1.0
Ressourcenzuteilung steuern CMA_0293 – Ressourcenzuteilung steuern Manuell, deaktiviert 1.1.0
Engagement von Führungskräften sicherstellen CMA_0489 – Engagement von Führungskräften sicherstellen Manuell, deaktiviert 1.1.0

Lebenszyklus der Systementwicklung

ID: NIST SP 800-53 Rev. 4 SA-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationssicherheitsrollen und Zuständigkeiten definieren CMA_C1565 – Informationssicherheitsrollen und Zuständigkeiten definieren Manuell, deaktiviert 1.1.0
Personen mit Sicherheitsrollen und -zuständigkeiten identifizieren CMA_C1566: Personen mit Sicherheitsrollen und -zuständigkeiten identifizieren Manuell, deaktiviert 1.1.1
Risikomanagementprozess in SDLC integrieren CMA_C1567 – Risikomanagementprozess in SDLC integrieren Manuell, deaktiviert 1.1.0

Erwerbsverfahren

ID: NIST SP 800-53 Rev. 4 SA-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Vertragliche Lieferantenverpflichtungen festlegen CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen Manuell, deaktiviert 1.1.0
Akzeptanzkriterien für Kaufverträge dokumentieren CMA_0187 – Akzeptanzkriterien für Kaufverträge dokumentieren Manuell, deaktiviert 1.1.0
Schutz personenbezogener Daten in Kaufverträgen dokumentieren CMA_0194 – Schutz personenbezogener Daten in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren CMA_0195 – Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren CMA_0197 – Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren Manuell, deaktiviert 1.1.0
Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren CMA_0199 – Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren CMA_0200 – Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren CMA_0201 – Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Umgebung des Informationssystems in Kaufverträgen dokumentieren CMA_0205 – Umgebung des Informationssystems in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren CMA_0207 – Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren Manuell, deaktiviert 1.1.0

Funktionale Eigenschaften von Sicherheitskontrollen

ID: NIST SP 800-53 Rev. 4 SA-4 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Abrufen funktionaler Eigenschaften von Sicherheitskontrollen CMA_C1575: Abrufen funktionaler Eigenschaften von Sicherheitskontrollen Manuell, deaktiviert 1.1.0

Design-/Implementierungsinformationen für Sicherheitskontrollen

ID: NIST SP 800-53 Rev. 4 SA-4 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Entwurfs- und Implementierungsinformationen für die Sicherheitskontrollen abrufen CMA_C1576: Entwurfs- und Implementierungsinformationen für die Sicherheitskontrollen abrufen Manuell, deaktiviert 1.1.1

Plan zur kontinuierlichen Überwachung

ID: NIST SP 800-53 Rev. 4 SA-4 (8) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Einholen eines Plans für die fortlaufende Überwachung für Sicherheitskontrollen CMA_C1577: Abrufen eines Plans für die fortlaufende Überwachung für Sicherheitskontrollen Manuell, deaktiviert 1.1.0

Verwendete Funktionen/Ports/Protokolle/Dienste

ID: NIST SP 800-53 Rev. 4 SA-4 (9) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Entwickler müssen SDLC-Ports, -Protokolle und -Dienste identifizieren CMA_C1578: Entwickler müssen SDLC-Ports, -Protokolle und -Dienste identifizieren Manuell, deaktiviert 1.1.0

Verwenden genehmigter PIV-Produkte

ID: NIST SP 800-53 Rev. 4 SA-4 (10) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwenden von FIPS 201-genehmigter Technologie für PIV CMA_C1579: Verwenden von FIPS 201-genehmigter Technologie für PIV Manuell, deaktiviert 1.1.0

Dokumentation des Informationssystems

ID: NIST SP 800-53 Rev. 4 SA-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Dokumentation des Informationssystems verteilen CMA_C1584 – Dokumentation des Informationssystems verteilen Manuell, deaktiviert 1.1.0
Kundendefinierte Maßnahmen dokumentieren CMA_C1582 – Kundendefinierte Maßnahmen dokumentieren Manuell, deaktiviert 1.1.0
Administratordokumentation abrufen CMA_C1580 – Administratordokumentation abrufen Manuell, deaktiviert 1.1.0
Dokumentation zur Benutzersicherheitsfunktion abrufen CMA_C1581 – Dokumentation zur Benutzersicherheitsfunktion abrufen Manuell, deaktiviert 1.1.0
Administrator- und Benutzerdokumentation schützen CMA_C1583 – Administrator- und Benutzerdokumentation schützen Manuell, deaktiviert 1.1.0

Externe Informationssystemdienste

ID: NIST SP 800-53 Rev. 4 SA-9 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Behördliche Aufsicht definieren und dokumentieren CMA_C1587 – Behördliche Aufsicht definieren und dokumentieren Manuell, deaktiviert 1.1.0
Externe Dienstanbieter zur Einhaltung von Sicherheitsanforderungen verpflichten CMA_C1586 – Externe Dienstanbieter zur Einhaltung von Sicherheitsanforderungen verpflichten Manuell, deaktiviert 1.1.0
Konformität des Cloud-Dienstanbieters mit Richtlinien und Verträgen überprüfen CMA_0469: Konformität des Cloud-Dienstanbieters mit Richtlinien und Vereinbarungen überprüfen Manuell, deaktiviert 1.1.0
Unabhängige Sicherheitsüberprüfung durchlaufen CMA_0515 – Unabhängige Sicherheitsüberprüfung durchlaufen Manuell, deaktiviert 1.1.0

Risikobewertungen/Organisationsgenehmigungen

ID: NIST SP 800-53 Rev. 4 SA-9 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Risiko in Drittanbieterbeziehungen bewerten CMA_0014 – Risiko in Drittanbieterbeziehungen bewerten Manuell, deaktiviert 1.1.0
Einholen von Genehmigungen für Übernahmen und Outsourcing CMA_C1590: Abrufen von Genehmigungen für Erwerb und Outsourcing Manuell, deaktiviert 1.1.0

Identifikation von Funktionen/Ports/Protokollen/Diensten

ID: NIST SP 800-53 Rev. 4 SA-9 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Externe Dienstanbieter identifizieren CMA_C1591 – Externe Dienstanbieter identifizieren Manuell, deaktiviert 1.1.0

Konsistente Interessen von Consumern und Anbietern

ID: NIST SP 800-53 Rev. 4 SA-9 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherstellen, dass externe Anbieter die Interessen der Kunden konsistent erfüllen CMA_C1592: Sicherstellen, dass externe Anbieter die Interessen der Kunden konsistent erfüllen Manuell, deaktiviert 1.1.0

Verarbeitungs-, Speicher- und Dienstort

ID: NIST SP 800-53 Rev. 4 SA-9 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Einschränken des Standorts der Informationsverarbeitung, -speicherung und -dienste CMA_C1593: Einschränken des Standorts der Informationsverarbeitung, -speicherung und -dienste Manuell, deaktiviert 1.1.0

Konfigurationsverwaltung durch Entwickler

ID: NIST SP 800-53 Rev. 4 SA-10 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Auf Sicherheitsrisiken bei der Codierung eingehen CMA_0003 – Auf Sicherheitsrisiken bei der Codierung eingehen Manuell, deaktiviert 1.1.0
Anwendungssicherheitsanforderungen entwickeln und dokumentieren CMA_0148 – Anwendungssicherheitsanforderungen entwickeln und dokumentieren Manuell, deaktiviert 1.1.0
Umgebung des Informationssystems in Kaufverträgen dokumentieren CMA_0205 – Umgebung des Informationssystems in Kaufverträgen dokumentieren Manuell, deaktiviert 1.1.0
Sicheres Softwareentwicklungsprogramm einrichten CMA_0259 – Sicheres Softwareentwicklungsprogramm einrichten Manuell, deaktiviert 1.1.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0
Entwickler verpflichten, genehmigte Änderungen und potenzielle Auswirkungen zu dokumentieren CMA_C1597 – Entwickler verpflichten, genehmigte Änderungen und potenzielle Auswirkungen zu dokumentieren Manuell, deaktiviert 1.1.0
Entwickler verpflichten, nur genehmigte Änderungen zu implementieren CMA_C1596 – Entwickler verpflichten, nur genehmigte Änderungen zu implementieren Manuell, deaktiviert 1.1.0
Entwickler verpflichten, die Änderungsintegrität zu verwalten CMA_C1595 – Entwickler verpflichten, die Änderungsintegrität zu verwalten Manuell, deaktiviert 1.1.0

Integritätsprüfung für Software/Firmware

ID: NIST SP 800-53 Rev. 4 SA-10 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Software-, Firmware- und Informationsintegrität bestätigen CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen Manuell, deaktiviert 1.1.0

Entwickler-Sicherheitstests und -Bewertung

ID: NIST SP 800-53 Rev. 4 SA-11 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0
Produktion von Nachweisen für die Ausführung des Sicherheitsbewertungsplans durch Entwickler anfordern CMA_C1602 – Produktion von Nachweisen für die Ausführung des Sicherheitsbewertungsplans durch Entwickler anfordern Manuell, deaktiviert 1.1.0

Schutz der Lieferkette

ID: NIST SP 800-53 Rev. 4 SA-12 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Risiko in Drittanbieterbeziehungen bewerten CMA_0014 – Risiko in Drittanbieterbeziehungen bewerten Manuell, deaktiviert 1.1.0
Anforderungen für die Bereitstellung von Waren und Dienstleistungen definieren CMA_0126 – Anforderungen für die Bereitstellung von Waren und Dienstleistungen definieren Manuell, deaktiviert 1.1.0
Vertragliche Lieferantenverpflichtungen festlegen CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen Manuell, deaktiviert 1.1.0
Richtlinien für das Risikomanagement der Lieferkette einrichten CMA_0275 – Richtlinien für das Risikomanagement der Lieferkette einrichten Manuell, deaktiviert 1.1.0

Entwicklungsprozess, -standards und -tools

ID: NIST SP 800-53 Rev. 4 SA-15 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Entwicklungsprozess, Standards und Tools überprüfen CMA_C1610 – Entwicklungsprozess, Standards und Tools überprüfen Manuell, deaktiviert 1.1.0

Von Entwicklern angebotene Trainings

ID: NIST SP 800-53 Rev. 4 SA-16 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Entwickler verpflichten, Schulungen bereitzustellen CMA_C1611: Entwickler verpflichten, Schulungen bereitzustellen Manuell, deaktiviert 1.1.0

Sicherheitsarchitektur und Design von Entwicklern

ID: NIST SP 800-53 Rev. 4 SA-17 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Erstellen der Sicherheitsarchitektur durch Entwickler anfordern CMA_C1612 – Erstellen der Sicherheitsarchitektur durch Entwickler anfordern Manuell, deaktiviert 1.1.0
Entwickler verpflichten, genaue Sicherheitsfunktionen zu beschreiben CMA_C1613 – Entwickler verpflichten, genaue Sicherheitsfunktionen zu beschreiben Manuell, deaktiviert 1.1.0
Entwickler verpflichten, einen einheitlichen Sicherheitsschutzansatz bereitzustellen CMA_C1614 – Entwickler verpflichten, einen einheitlichen Sicherheitsschutzansatz bereitzustellen Manuell, deaktiviert 1.1.0

System- und Kommunikationsschutz

Richtlinien und Verfahren für den System- und Kommunikationsschutz

ID: NIST SP 800-53 Rev. 4 SC-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Richtlinien und Verfahren für den System- und Kommunikationsschutz überprüfen und aktualisieren CMA_C1616 – Richtlinien und Verfahren für den System- und Kommunikationsschutz überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Anwendungspartitionierung

ID: NIST SP 800-53 Rev. 4 SC-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Remotezugriff autorisieren CMA_0024 – Remotezugriff autorisieren Manuell, deaktiviert 1.1.0
Benutzer- und Informationssystem-Verwaltungsfunktionalität trennen CMA_0493 – Benutzer- und Informationssystem-Verwaltungsfunktionalität trennen Manuell, deaktiviert 1.1.0
Dedizierte Computer für administrative Aufgaben verwenden CMA_0527 – Dedizierte Computer für administrative Aufgaben verwenden Manuell, deaktiviert 1.1.0

Isolation von Sicherheitsfunktionen

ID: NIST SP 800-53 Rev. 4 SC-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 2.0.0

Schutz vor Denial-of-Service-Angriffen

ID: NIST SP 800-53 Rev. 4 SC-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure DDoS Protection sollte aktiviert sein. DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. AuditIfNotExists, Disabled 3.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.2
DDoS-Reaktionsplan entwickeln und dokumentieren CMA_0147: DDoS-Reaktionsplan entwickeln und dokumentieren Manuell, deaktiviert 1.1.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 2.0.0

Ressourcenverfügbarkeit

ID: NIST SP 800-53 Rev. 4 SC-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ressourcenzuteilung steuern CMA_0293 – Ressourcenzuteilung steuern Manuell, deaktiviert 1.1.0
Verwalten von Verfügbarkeit und Kapazität CMA_0356: Verwalten von Verfügbarkeit und Kapazität Manuell, deaktiviert 1.1.0
Engagement von Führungskräften sicherstellen CMA_0489 – Engagement von Führungskräften sicherstellen Manuell, deaktiviert 1.1.0

Schutz von Grenzen

ID: NIST SP 800-53 Rev. 4 SC-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
[Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation AuditIfNotExists, Disabled 3.0.0-preview
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 3.1.0-preview
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.2
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.1
Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. Audit, Deny, Disabled 3.2.0
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.1.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Azure Key Vault-Instanzen müssen private Verbindungen verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.2
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Systemgrenzschutz implementieren CMA_0328 – Systemgrenzschutz implementieren Manuell, deaktiviert 1.1.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. Audit, Deny, Disabled 2.0.1
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Audit, Deny, Disabled 1.0.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 2.0.0

Zugriffspunkte

ID: NIST SP 800-53 Rev. 4 SC-7 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
[Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation AuditIfNotExists, Disabled 3.0.0-preview
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 3.1.0-preview
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.2
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.1
Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. Audit, Deny, Disabled 3.2.0
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.1.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Azure Key Vault-Instanzen müssen private Verbindungen verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.2
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. Audit, Deny, Disabled 2.0.1
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Audit, Deny, Disabled 1.0.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 2.0.0

Externe Telekommunikationsdienste

ID: NIST SP 800-53 Rev. 4 SC-7 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwaltete Schnittstelle für jeden externen Dienst implementieren CMA_C1626 – Verwaltete Schnittstelle für jeden externen Dienst implementieren Manuell, deaktiviert 1.1.0
Systemgrenzschutz implementieren CMA_0328 – Systemgrenzschutz implementieren Manuell, deaktiviert 1.1.0
Schnittstelle zu externen Systemen schützen CMA_0491: Schnittstelle zu externen Systemen schützen Manuell, deaktiviert 1.1.0

Unterbinden von getrenntem Tunneln für Remote-Geräte

ID: NIST SP 800-53 Rev. 4 SC-7 (7) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Geteiltes Tunneln für Remotegeräte unterbinden CMA_C1632 – Geteiltes Tunneln für Remotegeräte unterbinden Manuell, deaktiviert 1.1.0

Weiterleiten von Datenverkehr an authentifizierte Proxyserver

ID: NIST SP 800-53 Rev. 4 SC-7 (8) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Weiterleiten von Datenverkehr über ein authentifiziertes Proxynetzwerk CMA_C1633: Weiterleiten von Datenverkehr über ein authentifiziertes Proxynetzwerk Manuell, deaktiviert 1.1.0

Hostbasierter Schutz

ID: NIST SP 800-53 Rev. 4 SC-7 (12) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemgrenzschutz implementieren CMA_0328 – Systemgrenzschutz implementieren Manuell, deaktiviert 1.1.0

Isolation von Sicherheitstools, -mechanismen und unterstützenden Komponenten

ID: NIST SP 800-53 Rev. 4 SC-7 (13) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Isolieren von SecurID-Systemen, Verwaltungssystemen für Sicherheitsvorfälle CMA_C1636: Isolieren von SecurID-Systemen, Verwaltungssystemen für Sicherheitsvorfälle Manuell, deaktiviert 1.1.0

Ausfallschutz

ID: NIST SP 800-53 Rev. 4 SC-7 (18) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemgrenzschutz implementieren CMA_0328 – Systemgrenzschutz implementieren Manuell, deaktiviert 1.1.0
Übertragungen zwischen Standby- und aktiven Systemkomponenten verwalten CMA_0371: Verwalten der Übertragungen zwischen Standby- und aktiven Systemkomponenten Manuell, deaktiviert 1.1.0

Dynamische Isolation und Trennung

ID: NIST SP 800-53 Rev. 4 SC-7 (20) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherstellen, dass das System die dynamische Isolation von Ressourcen ermöglicht CMA_C1638: Sicherstellen, dass das System die dynamische Isolation von Ressourcen ermöglicht Manuell, deaktiviert 1.1.0

Isolation von Komponenten des Informationssystems

ID: NIST SP 800-53 Rev. 4 SC-7 (21) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Begrenzungsschutz zum Isolieren von Informationssystemen einsetzen CMA_C1639 – Begrenzungsschutz zum Isolieren von Informationssystemen einsetzen Manuell, deaktiviert 1.1.0

Vertraulichkeit und Integrität von übertragenen Informationen

ID: NIST SP 800-53 Rev. 4 SC-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 4.0.0
App Service-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. Audit, Deny, Disabled 1.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 5.0.0
Funktions-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.2.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Kennwörter mit Verschlüsselung schützen CMA_0408 – Kennwörter mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. AuditIfNotExists, Disabled 4.1.1

Kryptografischer oder alternativer physischer Schutz

ID: NIST SP 800-53 Rev. 4 SC-8 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 4.0.0
App Service-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. Audit, Deny, Disabled 1.0.0
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren Manuell, deaktiviert 1.1.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 5.0.0
Funktions-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.2.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. AuditIfNotExists, Disabled 4.1.1

Netzwerktrennung

ID: NIST SP 800-53 Rev. 4 SC-10 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Benutzersitzung erneut authentifizieren oder beenden CMA_0421 – Benutzersitzung erneut authentifizieren oder beenden Manuell, deaktiviert 1.1.0

Einrichtung und Verwaltung von Kryptografieschlüsseln

ID: NIST SP 800-53 Rev. 4 SC-12 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Azure Recovery Services Tresore sollten vom Kunden verwaltete Schlüssel für die Verschlüsselung von Sicherungsdaten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Daten des IoT Hub-Gerätebereitstellungsdiensts müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub-Gerätebereitstellungsdienst zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0-preview
Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich. Audit, Deny, Disabled 2.2.0
Azure API for FHIR muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln ruhender Daten verwenden Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung der in Azure API for FHIR gespeicherten ruhenden Daten zu steuern, wenn dies gesetzlich vorgeschrieben ist oder als Konformitätsanforderung gilt. Kundenseitig verwaltete Schlüssel bieten außerdem eine doppelte Verschlüsselung, indem eine zweite Verschlüsselungsebene zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln hinzugefügt wird. überprüfen, Überprüfung, deaktiviert, Deaktivierung 1.1.0
Azure Automation-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Automation-Konten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/automation-cmk. Audit, Deny, Disabled 1.0.0
Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden. Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Azure Container Instances-Containergruppe muss einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden Schützen Sie Ihre Container mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. Audit, Disabled, Deny 1.0.0
Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Data Box-Aufträge müssen einen kundenseitig verwalteten Schlüssel zum Verschlüsseln des Kennworts für die Geräteentsperrung verwenden Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung des Kennworts für die Geräteentsperrung für Azure Data Box zu steuern. Kundenseitig verwaltete Schlüssel bieten zudem Unterstützung beim Verwalten des Zugriffs auf das Kennwort zur Geräteentsperrung durch den Data Box Dienst, um das Gerät vorzubereiten und Daten automatisiert zu kopieren. Die Daten auf dem Gerät selbst sind bereits im Ruhezustand mit einer AES-256-Verschlüsselung (Advanced Encryption Standard) verschlüsselt, und das Kennwort zur Geräteentsperrung wird standardmäßig mit einem von Microsoft verwalteten Schlüssel verschlüsselt. Audit, Deny, Disabled 1.0.0
Azure Data Explorer-Verschlüsselung ruhender Daten muss einen kundenseitig verwalteten Schlüssel verwenden Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihrem Azure Data Explorer-Cluster bietet zusätzliche Kontrolle über den Schlüssel, der von der Verschlüsselung ruhender Schlüssel verwendet wird. Dieses Feature ist häufig für Kunden mit speziellen Complianceanforderungen relevant und erfordert eine Key Vault-Instanz zur Verwaltung der Schlüssel. Audit, Deny, Disabled 1.0.0
Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
Azure HDInsight-Cluster müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure HDInsight-Cluster zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
Azure HDInsight-Cluster müssen Verschlüsselung auf dem Host zur Verschlüsselung ruhender Daten verwenden Durch das Aktivieren der Verschlüsselung auf dem Host können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn Sie die Verschlüsselung auf dem Host aktivieren, werden die auf dem VM-Host gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt. Audit, Deny, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.1.0
Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Erstellen Sie Azure Monitor-Protokollcluster mit Verschlüsselung durch kundenseitig verwaltete Schlüssel. Standardmäßig werden die Protokolldaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit dem kundenseitig verwalteten Schlüssel in Azure Monitor haben Sie eine bessere Kontrolle über den Zugriff auf Ihre Daten. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Stream Analytics-Aufträge sollten kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Sie alle Metadaten und privaten Datenbestände Ihrer Stream Analytics-Aufträge sicher in Ihrem Speicherkonto speichern möchten. Dadurch haben Sie die vollständige Kontrolle darüber, wie Ihre Stream Analytics-Daten verschlüsselt werden. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten zu steuern, die in Azure Synapse-Arbeitsbereichen gespeichert sind. Kundenseitig verwaltete Schlüssel bieten eine Mehrfachverschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird. Audit, Deny, Disabled 1.0.0
Bot Service muss mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden Azure Bot Service verschlüsselt Ihre Ressource automatisch, um Ihre Daten zu schützen sowie die Sicherheits- und Complianceanforderungen der Organisation zu erfüllen. Standardmäßig werden von Microsoft verwaltete Verschlüsselungsschlüssel verwendet. Wählen Sie kundenseitig verwaltete Schlüssel (auch als Bring Your Own Key (BYOK) bezeichnet) aus, um mehr Flexibilität bei der Verwaltung von Schlüsseln oder der Steuerung des Zugriffs auf Ihr Abonnement zu haben. Weitere Informationen zur Azure Bot Service-Verschlüsselung finden Sie hier: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.1
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Verwaltungsprozess physischer Schlüssel definieren CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren Manuell, deaktiviert 1.1.0
Kryptografische Verwendung definieren CMA_0120 – Kryptografische Verwendung definieren Manuell, deaktiviert 1.1.0
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren Manuell, deaktiviert 1.1.0
Assertionsanforderungen bestimmen CMA_0136 – Assertionsanforderungen bestimmen Manuell, deaktiviert 1.1.0
Für Event Hub-Namespaces muss ein kundenseitig verwalteter Schlüssel zur Verschlüsselung verwendet werden Azure Event Hubs unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Event Hub zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Event Hub nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Namespaces in dedizierten Clustern unterstützt. Audit, Disabled 1.0.0
HPC Cache-Konten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden Verwalten Sie die Verschlüsselung ruhender Azure HPC Cache-Daten mithilfe von kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Audit, Disabled, Deny 2.0.0
Öffentliche Schlüsselzertifikate ausstellen CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen Manuell, deaktiviert 1.1.0
Logic Apps-Integrationsdienstumgebung muss mit kundenseitig verwalteten Schlüsseln verschlüsselt werden Führen Sie eine Bereitstellung in einer Integrationsdienstumgebung durch, um die Verschlüsselung ruhender Logic Apps-Daten mithilfe kundenseitig verwalteter Schlüssel zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Audit, Deny, Disabled 1.0.0
Symmetrische kryptografische Schlüssel verwalten CMA_0367 – Symmetrische kryptografische Schlüssel verwalten Manuell, deaktiviert 1.1.0
Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
MySQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. AuditIfNotExists, Disabled 1.0.4
Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für die Inhalte Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. AuditIfNotExists, Disabled 1.0.4
Zugriff auf private Schlüssel einschränken CMA_0445 – Zugriff auf private Schlüssel einschränken Manuell, deaktiviert 1.1.0
Gespeicherte Abfragen in Azure Monitor müssen zur Protokollverschlüsselung im Kundenspeicherkonto gespeichert werden Verknüpfen Sie das Speicherkonto mit einem Log Analytics-Arbeitsbereich, um gespeicherte Abfragen durch eine Verschlüsselung des Speicherkontos zu schützen. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre gespeicherten Abfragen in Azure Monitor zu erhalten. Ausführlichere Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Für Service Bus Premium-Namespaces muss ein kundenseitig verwaltete Schlüssel zur Verschlüsselung verwendet werden Azure Service Bus unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Service Bus zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Service Bus nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Premium-Namespaces unterstützt. Audit, Disabled 1.0.0
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.1
Verschlüsselungsbereiche für Speicherkonten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel zur Verwaltung ruhender Verschlüsselungen Ihrer Verschlüsselungsbereiche für Speicherkonten. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu Verschlüsselungsbereichen für Speicherkonten finden Sie unter https://aka.ms/encryption-scopes-overview. Audit, Deny, Disabled 1.0.0
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. Audit, Disabled 1.0.3

Verfügbarkeit

ID: NIST SP 800-53 Rev. 4 SC-12 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verfügbarkeit von Informationen beibehalten CMA_C1644 – Verfügbarkeit von Informationen beibehalten Manuell, deaktiviert 1.1.0

Symmetrische Schlüssel

ID: NIST SP 800-53 Rev. 4 SC-12 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Erzeugen, Kontrollieren und Verteilen symmetrischer kryptografischer Schlüssel CMA_C1645: Erzeugen, Kontrollieren und Verteilen symmetrischer kryptografischer Schlüssel Manuell, deaktiviert 1.1.0

Asymmetrische Schlüssel

ID: NIST SP 800-53 Rev. 4 SC-12 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Asymmetrische kryptografische Schlüssel erstellen, steuern und verteilen CMA_C1646 – Asymmetrische kryptografische Schlüssel erstellen, steuern und verteilen Manuell, deaktiviert 1.1.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 4 SC-13 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Kryptografische Verwendung definieren CMA_0120 – Kryptografische Verwendung definieren Manuell, deaktiviert 1.1.0

Gemeinsame Computergeräte

ID: NIST SP 800-53 Rev. 4 SC-15 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ausdrücklich über die Verwendung von gemeinsam genutzten Computergeräten informieren CMA_C1649: Ausdrücklich über die Verwendung von gemeinsam genutzten Computergeräten informieren Manuell, deaktiviert 1.1.1
Remoteaktivierung von gemeinsam genutzten Computinggeräten untersagen CMA_C1648 – Remoteaktivierung von gemeinsam genutzten Computinggeräten untersagen Manuell, deaktiviert 1.1.0

Public Key-Infrastrukturzertifikate

ID: NIST SP 800-53 Rev. 4 SC-17 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Öffentliche Schlüsselzertifikate ausstellen CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen Manuell, deaktiviert 1.1.0

Mobiler Code

ID: NIST SP 800-53 Rev. 4 SC-18 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Autorisierung, Überwachung und Kontrolle der Nutzung von Mobildcodetechnologien CMA_C1653: Autorisierung, Überwachung und Kontrolle der Nutzung von Mobilcodetechnologien Manuell, deaktiviert 1.1.0
Definieren akzeptabler und inakzeptabler Mobilcodetechnologien CMA_C1651: Definieren akzeptabler und inakzeptabler Mobilcodetechnologien Manuell, deaktiviert 1.1.0
Festlegen von Nutzungseinschränkungen für Mobilcodetechnologien CMA_C1652: Festlegen von Nutzungseinschränkungen für Mobilcodetechnologien Manuell, deaktiviert 1.1.0

Voice over IP

ID: NIST SP 800-53 Rev. 4 SC-19 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
VoIP autorisieren, überwachen und steuern CMA_0025 – VoIP autorisieren, überwachen und steuern Manuell, deaktiviert 1.1.0
VoIP-Nutzungseinschränkungen einrichten CMA_0280: VoIP-Nutzungseinschränkungen einrichten Manuell, deaktiviert 1.1.0

Sicherer Namens- und Adressauflösungsdienst (autoritative Quelle)

ID: NIST SP 800-53 Rev. 4 SC-20 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Fehlertoleranten Namens-/Adressdienst implementieren CMA_0305 – Fehlertoleranten Namens-/Adressdienst implementieren Manuell, deaktiviert 1.1.0
Sichere Namens- und Adressauflösungsdienste bereitstellen CMA_0416 – Sichere Namens- und Adressauflösungsdienste bereitstellen Manuell, deaktiviert 1.1.0

Sicherer Namens- und Adressauflösungsdienst (rekursiver Konfliktlöser oder Cachekonfliktlöser)

ID: NIST SP 800-53 Rev. 4 SC-21 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Fehlertoleranten Namens-/Adressdienst implementieren CMA_0305 – Fehlertoleranten Namens-/Adressdienst implementieren Manuell, deaktiviert 1.1.0
Software-, Firmware- und Informationsintegrität bestätigen CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen Manuell, deaktiviert 1.1.0

Architektur und Bereitstellung für den Namens- und Adressauflösungsdienst

ID: NIST SP 800-53 Rev. 4 SC-22 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Fehlertoleranten Namens-/Adressdienst implementieren CMA_0305 – Fehlertoleranten Namens-/Adressdienst implementieren Manuell, deaktiviert 1.1.0

Echtheit von Sitzungen

ID: NIST SP 800-53 Rev. 4 SC-23 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren Manuell, deaktiviert 1.1.0
Zufällige eindeutige Sitzungsbezeichner erzwingen CMA_0247: Erzwingen von zufälligen eindeutigen Sitzungsbezeichnern Manuell, deaktiviert 1.1.0

Invalidierung von Sitzungs-IDs bei der Abmeldung

ID: NIST SP 800-53 Rev. 4 SC-23 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Invalidierung von Sitzungs-IDs bei der Abmeldung CMA_C1661 – Sitzungsbezeichner beim Abmelden ungültig machen Manuell, deaktiviert 1.1.0

Ausfall im bekannten Zustand

ID: NIST SP 800-53 Rev. 4 SC-24 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherstellen, dass das Informationssystem im bekannten Zustand ausfällt CMA_C1662 – Sicherstellen, dass das Informationssystem im bekannten Zustand ausfällt Manuell, deaktiviert 1.1.0

Schutz von ruhenden Informationen

ID: NIST SP 800-53 Rev. 4 SC-28 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Automation-Kontovariablen sollten verschlüsselt werden Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. Audit, Deny, Disabled 1.1.0
Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. Audit, Deny, Disabled 1.0.0
Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Audit, Deny, Disabled 2.0.0
Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Audit, Deny, Disabled 2.0.0
Datenleck-Verwaltungsprozedur einrichten CMA_0255 – Datenleck-Verwaltungsprozedur einrichten Manuell, deaktiviert 1.1.0
Infrastructure encryption should be enabled for Azure Database for MySQL servers (Infrastrukturverschlüsselung muss für Azure Database for MySQL-Server aktiviert sein) Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for MySQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten mithilfe der von Microsoft verwalteten FIPS 140-2-konformen Schlüsseln doppelt verschlüsselt. Audit, Deny, Disabled 1.0.0
Infrastrukturverschlüsselung muss für Azure Database for PostgreSQL-Server aktiviert sein Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for PostgreSQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten doppelt mithilfe FIPS 140-2-konformer Schlüssel verschlüsselt, die von Microsoft verwaltet werden. Audit, Deny, Disabled 1.0.0
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. Audit, Deny, Disabled 1.1.0
Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. Audit, Deny, Disabled 1.0.0
Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.1
Transparent Data Encryption für SQL-Datenbanken aktivieren TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Disabled 2.0.0
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 4 SC-28 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Automation-Kontovariablen sollten verschlüsselt werden Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. Audit, Deny, Disabled 1.1.0
Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. Audit, Deny, Disabled 1.0.0
Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Audit, Deny, Disabled 2.0.0
Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Audit, Deny, Disabled 2.0.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
Infrastructure encryption should be enabled for Azure Database for MySQL servers (Infrastrukturverschlüsselung muss für Azure Database for MySQL-Server aktiviert sein) Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for MySQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten mithilfe der von Microsoft verwalteten FIPS 140-2-konformen Schlüsseln doppelt verschlüsselt. Audit, Deny, Disabled 1.0.0
Infrastrukturverschlüsselung muss für Azure Database for PostgreSQL-Server aktiviert sein Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for PostgreSQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten doppelt mithilfe FIPS 140-2-konformer Schlüssel verschlüsselt, die von Microsoft verwaltet werden. Audit, Deny, Disabled 1.0.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. Audit, Deny, Disabled 1.1.0
Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. Audit, Deny, Disabled 1.0.0
Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.1
Transparent Data Encryption für SQL-Datenbanken aktivieren TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Disabled 2.0.0
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0

Prozessisolation

ID: NIST SP 800-53 Rev. 4 SC-39 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwalten separater Ausführungsdomänen für laufende Prozesse CMA_C1665: Verwalten separater Ausführungsdomänen für laufende Prozesse Manuell, deaktiviert 1.1.0

System- und Informationsintegrität

Richtlinien und Verfahren für die System- und Informationsintegrität

ID: NIST SP 800-53 Rev. 4 SI-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Richtlinien und Prozeduren für die Informationsintegrität überprüfen und aktualisieren CMA_C1667 – Richtlinien und Prozeduren für die Informationsintegrität überprüfen und aktualisieren Manuell, deaktiviert 1.1.0

Fehlerbehebung

ID: NIST SP 800-53 Rev. 4 SI-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Disabled 3.0.0
App Service-Apps sollten die neueste „HTTP-Version“ verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Funktions-Apps sollten die neueste „HTTP-Version“ verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Fehlerbehebung in die Konfigurationsverwaltung einbinden CMA_C1671 – Fehlerbehebung in die Konfigurationsverwaltung einbinden Manuell, deaktiviert 1.1.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. Audit, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. AuditIfNotExists, Disabled 4.1.0
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.1.0

Automatisierter Fehlerbehebungsstatus

ID: NIST SP 800-53 Rev. 4 SI-2 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Automatisieren der Fehlerbehebung CMA_0027: Automatisieren der Fehlerbehebung Manuell, deaktiviert 1.1.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Zeit zum Korrigieren von Fehlern/Benchmarks für Korrekturmaßnahmen

ID: NIST SP 800-53 Rev. 4 SI-2 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Einrichten von Benchmarks für die Fehlerbehebung CMA_C1675: Einrichten von Benchmarks für Fehlerkorrekturen Manuell, deaktiviert 1.1.0
Messen der Zeit zwischen der Identifikation von Fehlern und der Behebung von Fehlern CMA_C1674: Messen der Zeit zwischen der Identifikation von Fehlern und der Behebung von Fehlern Manuell, deaktiviert 1.1.0

Entfernen älterer Software- oder Firmwareversionen

ID: NIST SP 800-53 Rev. 4 SI-2 (6) Zuständigkeit: Kund*innen

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Service-Apps sollten die neueste „HTTP-Version“ verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Funktions-Apps sollten die neueste 'HTTP Version' verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. Audit, Disabled 1.0.2

Schutz vor schädlichem Code

ID: NIST SP 800-53 Rev. 4 SI-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Verwalten von Gateways CMA_0363 – Gateways verwalten Manuell, deaktiviert 1.1.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Virendefinitionen aktualisieren CMA_0517 – Virendefinitionen aktualisieren Manuell, deaktiviert 1.1.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 2.0.0

Zentrale Verwaltung

ID: NIST SP 800-53 Rev. 4 SI-3 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Verwalten von Gateways CMA_0363 – Gateways verwalten Manuell, deaktiviert 1.1.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Virendefinitionen aktualisieren CMA_0517 – Virendefinitionen aktualisieren Manuell, deaktiviert 1.1.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 2.0.0

Automatische Updates

ID: NIST SP 800-53 Rev. 4 SI-3 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Verwalten von Gateways CMA_0363 – Gateways verwalten Manuell, deaktiviert 1.1.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Virendefinitionen aktualisieren CMA_0517 – Virendefinitionen aktualisieren Manuell, deaktiviert 1.1.0

Nicht auf Signaturen basierende Erkennung

ID: NIST SP 800-53 Rev. 4 SI-3 (7) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Verwalten von Gateways CMA_0363 – Gateways verwalten Manuell, deaktiviert 1.1.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Virendefinitionen aktualisieren CMA_0517 – Virendefinitionen aktualisieren Manuell, deaktiviert 1.1.0

Überwachung des Informationssystems

ID: NIST SP 800-53 Rev. 4 SI-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation AuditIfNotExists, Disabled 3.0.0-preview
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
Rechtlichen Meinung zur Überwachung von Systemaktivitäten einholen CMA_C1688 – Rechtlichen Meinung zur Überwachung von Systemaktivitäten einholen Manuell, deaktiviert 1.1.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Überwachungsinformationen nach Bedarf bereitstellen CMA_C1689 – Überwachungsinformationen nach Bedarf bereitstellen Manuell, deaktiviert 1.1.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Automatisierte Tools für die Echtzeitanalyse

ID: NIST SP 800-53 Rev. 4 SI-4 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Security Operations dokumentieren CMA_0202 – Security Operations dokumentieren Manuell, deaktiviert 1.1.0
Sensoren für Endpunktsicherheitslösung aktivieren CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren Manuell, deaktiviert 1.1.0

Ein- und ausgehender Kommunikationsdatenverkehr

ID: NIST SP 800-53 Rev. 4 SI-4 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
VoIP autorisieren, überwachen und steuern CMA_0025 – VoIP autorisieren, überwachen und steuern Manuell, deaktiviert 1.1.0
Systemgrenzschutz implementieren CMA_0328 – Systemgrenzschutz implementieren Manuell, deaktiviert 1.1.0
Verwalten von Gateways CMA_0363 – Gateways verwalten Manuell, deaktiviert 1.1.0
Datenverkehr über verwaltete Netzwerkzugriffspunkte weiterleiten CMA_0484 – Datenverkehr über verwaltete Netzwerkzugriffspunkte weiterleiten Manuell, deaktiviert 1.1.0

Vom System generierte Warnungen

ID: NIST SP 800-53 Rev. 4 SI-4 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Automatisierte Warnungen

ID: NIST SP 800-53 Rev. 4 SI-4 (12) Zuständigkeit: Kund*innen

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.2.0
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.1.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Angriffserkennung in Drahtlosnetzwerken

ID: NIST SP 800-53 Rev. 4 SI-4 (14) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Dokumentieren von Sicherheitskontrollen für den drahtlosen Zugriff CMA_C1695: Dokumentieren von Sicherheitskontrollen für den drahtlosen Zugriff Manuell, deaktiviert 1.1.0

Nicht autorisierte Netzwerkdienste

ID: NIST SP 800-53 Rev. 4 SI-4 (22) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden Manuell, deaktiviert 1.1.0

Kompromittierungsindikatoren

ID: NIST SP 800-53 Rev. 4 SI-4 (24) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Indikatoren für Kompromittierung entdecken CMA_C1702 – Indikatoren für Kompromittierung entdecken Manuell, deaktiviert 1.1.0

Sicherheitsbenachrichtigungen, Empfehlungen und Anweisungen

ID: NIST SP 800-53 Rev. 4 SI-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitswarnungen an Mitarbeiter verteilen CMA_C1705 – Sicherheitswarnungen an Mitarbeiter verteilen Manuell, deaktiviert 1.1.0
Threat Intelligence-Programm einrichten CMA_0260 – Threat Intelligence-Programm einrichten Manuell, deaktiviert 1.1.0
Interne Sicherheitsbenachrichtigungen generieren CMA_C1704 – Interne Sicherheitsbenachrichtigungen generieren Manuell, deaktiviert 1.1.0
Sicherheitsanweisungen implementieren CMA_C1706 – Sicherheitsanweisungen implementieren Manuell, deaktiviert 1.1.0

Automatisierte Warnungen und Empfehlungen

ID: NIST SP 800-53 Rev. 4 SI-5 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwenden automatisierter Mechanismen für Sicherheitsbenachrichtigungen CMA_C1707: Verwenden automatisierter Mechanismen für Sicherheitsbenachrichtigungen Manuell, deaktiviert 1.1.0

Überprüfung von Sicherheitsfunktionen

ID: NIST SP 800-53 Rev. 4 SI-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Erstellen alternativer Maßnahmen für identifizierte Anomalien CMA_C1711: Erstellen alternativer Maßnahmen für identifizierte Anomalien Manuell, deaktiviert 1.1.0
Mitarbeiter über fehlgeschlagene Sicherheitsüberprüfungstests benachrichtigen CMA_C1710: Mitarbeiter über Sicherheitsüberprüfungstests informieren, bei denen Fehler aufgetreten sind Manuell, deaktiviert 1.1.0
Überprüfung von Sicherheitsfunktionen mit einer definierten Häufigkeit durchführen CMA_C1709: Überprüfung von Sicherheitsfunktionen mit einer definierten Häufigkeit durchführen Manuell, deaktiviert 1.1.0
Sicherheitsfunktionen bestätigen CMA_C1708 – Sicherheitsfunktionen bestätigen Manuell, deaktiviert 1.1.0

Integrität von Software, Firmware und Informationen

ID: NIST SP 800-53 Rev. 4 SI-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Software-, Firmware- und Informationsintegrität bestätigen CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen Manuell, deaktiviert 1.1.0

Integritätsüberprüfungen

ID: NIST SP 800-53 Rev. 4 SI-7 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Software-, Firmware- und Informationsintegrität bestätigen CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen Manuell, deaktiviert 1.1.0
Systemdiagnosedaten anzeigen und konfigurieren CMA_0544 – Systemdiagnosedaten anzeigen und konfigurieren Manuell, deaktiviert 1.1.0

Automatisierte Reaktion bei Integritätsverletzungen

ID: NIST SP 800-53 Rev. 4 SI-7 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwenden des automatischen Herunterfahrens/Neustartens, wenn Verstöße erkannt werden CMA_C1715: Verwenden des automatischen Herunterfahrens/Neustartens, wenn Verstöße erkannt werden Manuell, deaktiviert 1.1.0

Binärcode oder ausführbarer Maschinencode

ID: NIST SP 800-53 Rev. 4 SI-7 (14) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verbot von binärem/maschinell ausführbarem Code CMA_C1717: Verbot von binärem/maschinell ausführbarem Code Manuell, deaktiviert 1.1.0

Überprüfen von Informationseingaben

ID: NIST SP 800-53 Rev. 4 SI-10 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Überprüfung der Informationseingabe durchführen CMA_C1723 – Überprüfung der Informationseingabe durchführen Manuell, deaktiviert 1.1.0

Fehlerbehandlung

ID: NIST SP 800-53 Rev. 4 SI-11 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Fehlermeldungen generieren CMA_C1724 – Fehlermeldungen generieren Manuell, deaktiviert 1.1.0
Fehlermeldungen aufdecken CMA_C1725 – Fehlermeldungen aufdecken Manuell, deaktiviert 1.1.0

Informationsverarbeitung und -aufbewahrung

ID: NIST SP 800-53 Rev. 4 SI-12 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Physischen Zugriff steuern CMA_0081 – Physischen Zugriff steuern Manuell, deaktiviert 1.1.0
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten Manuell, deaktiviert 1.1.0
Bezeichnungsaktivitäten und Analysen überprüfen CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen Manuell, deaktiviert 1.1.0

Arbeitsspeicherschutz

ID: NIST SP 800-53 Rev. 4 SI-16 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 2.0.0

Nächste Schritte

Weitere Artikel über Azure Policy: