Kontrollen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Azure Virtual Machines
Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen
Die Einhaltung gesetzlicher Bestimmungen in Azure Policy bietet von Microsoft erstellte und verwaltete Initiativendefinitionen (als integriert bezeichnet) für die Compliancedomänen und Sicherheitskontrollen, die mit unterschiedlichen Compliancestandards zusammenhängen. Auf dieser Seite sind die Compliancedomänen und Sicherheitskontrollen für Azure Virtual Machines aufgeführt. Sie können die integrierten Elemente für eine Sicherheitskontrolle einzeln zuweisen, um Ihre Azure-Ressourcen mit dem jeweiligen Standard kompatibel zu machen.
Die Titel der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Richtlinienversion, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Wichtig
Jeder Kontrollmechanismus ist mindestens einer Azure Policy-Definition zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich konform in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Kontrollelementen und gesetzlichen Konformitätsdefinitionen von Azure Policy für diese Konformitätsstandards können sich im Laufe der Zeit ändern.
ISM PROTECTED der australischen Regierung
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: Durch ISM der australischen Regierung GESCHÜTZT. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Durch ISM der australischen Regierung GESCHÜTZT.
Canada Federal PBMM
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: Canada Federal PBMM. Weitere Informationen zu diesem Compliancestandard finden Sie unter Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Build-Ins für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2,10 | Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Sicherheitsrisikobewertung überwachen“ nicht deaktiviert ist | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| 2 Security Center | 2,12 | Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „JIT-Netzwerkzugriff überwachen“ nicht deaktiviert ist | Verwaltungsports virtueller Computer müssen mit der Just-In-Time-Netzwerkzugriffssteuerung geschützt werden. | 3.0.0 |
| 2 Security Center | 2.4 | Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Betriebssystem-Sicherheitsrisiken überwachen“ nicht deaktiviert ist | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| 2 Security Center | 2,9 | Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Next Generation Firewall-Überwachung aktivieren“ nicht deaktiviert ist | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 7 Virtuelle Computer | 7.4 | Sicherstellen, dass nur genehmigte Erweiterungen installiert werden | Es dürfen nur genehmigte VM-Erweiterungen installiert werden | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 7 Virtuelle Computer | 7.1 | Sicherstellen, dass Virtual Machines Managed Disks verwendet | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| 7 Virtuelle Computer | 7.4 | Sicherstellen, dass nur genehmigte Erweiterungen installiert werden | Es dürfen nur genehmigte VM-Erweiterungen installiert werden | 1.0.0 |
| 7 Virtuelle Computer | 7.6 | Sicherstellen, dass Endpoint Protection für alle virtuellen Computer installiert ist | Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.4.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 7 Virtuelle Computer | 7.1 | Sicherstellen, dass Virtual Machines Managed Disks verwendet | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| 7 Virtuelle Computer | 7.4 | Sicherstellen, dass nur genehmigte Erweiterungen installiert werden | Es dürfen nur genehmigte VM-Erweiterungen installiert werden | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Um sich darüber zu informieren, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, lesen Sie Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 2.0.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Stellen Sie sicher, dass die Microsoft Defender-Empfehlung für „Anwenden von Systemupdates“ den Status „Abgeschlossen“ aufweist | Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird | 3.7.0 |
| 6 | 6.1 | Sicherstellen, dass der RDP-Zugriff aus dem Internet bewertet und eingeschränkt wird | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| 6 | 6.2 | Sicherstellen, dass der SSH-Zugriff aus dem Internet bewertet und eingeschränkt wird | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| 7 | 7.2 | Sicherstellen, dass Virtual Machines Managed Disks verwendet | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| 7 | 7.4 | Sicherstellen, dass „nicht angefügte Datenträger“ mit einem kundenseitig verwalteten Schlüssel verschlüsselt sind | Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.0 |
| 7 | 7.5 | Sicherstellen, dass nur genehmigte Erweiterungen installiert werden | Es dürfen nur genehmigte VM-Erweiterungen installiert werden | 1.0.0 |
CMMC Level 3
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CMMC Level 3. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Cybersecurity Maturity Model Certification (CMMC).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | 3.1.0 |
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen | 3.0.0 |
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | 3.1.0 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen | 3.0.0 |
| Zugriffssteuerung | AC.1.003 | Überprüfen und steuern/beschränken Sie Verbindungen mit externen Informationssystemen sowie die Verwendung dieser Systeme. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| Zugriffssteuerung | AC.2.007 | Verwenden Sie das Prinzip der geringsten Rechte, u. a. für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Zugriffssteuerung | AC.2.008 | Verwenden Sie beim Zugriff auf nicht sicherheitsrelevante Funktionen nicht privilegierte Konten oder Rollen. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen | 3.0.0 |
| Zugriffssteuerung | AC.2.008 | Verwenden Sie beim Zugriff auf nicht sicherheitsrelevante Funktionen nicht privilegierte Konten oder Rollen. | Windows-Computer müssen die Anforderungen für „Zuweisen von Benutzerrechten“ erfüllen | 3.0.0 |
| Zugriffssteuerung | AC.2.013 | Überwachen und Steuern von Remotezugriffssitzungen | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | AC.2.013 | Überwachen und Steuern von Remotezugriffssitzungen | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | AC.2.013 | Überwachen und Steuern von Remotezugriffssitzungen | Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | 3.1.0 |
| Zugriffssteuerung | AC.2.013 | Überwachen und Steuern von Remotezugriffssitzungen | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Zugriffssteuerung | AC.2.013 | Überwachen und Steuern von Remotezugriffssitzungen | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Zugriffssteuerung | AC.2.013 | Überwachen und Steuern von Remotezugriffssitzungen | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| Zugriffssteuerung | AC.2.016 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| Zugriffssteuerung | AC.2.016 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen | 3.0.0 |
| Zugriffssteuerung | AC.3.017 | Trennen Sie die Aufgaben einzelner Personen, um das Risiko für böswillige Aktivitäten ohne Absprache zu verringern. | Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen | 2.0.0 |
| Zugriffssteuerung | AC.3.017 | Trennen Sie die Aufgaben einzelner Personen, um das Risiko für böswillige Aktivitäten ohne Absprache zu verringern. | Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | 2.0.0 |
| Zugriffssteuerung | AC.3.018 | Verhindern Sie, dass nicht berechtigte Benutzer privilegierte Funktionen ausführen, und erfassen Sie die Ausführung dieser Funktionen in Überwachungsprotokollen. | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Rechteverwendung“ erfüllen | 3.0.0 |
| Zugriffssteuerung | AC.3.021 | Autorisieren Sie die Remoteausführung privilegierter Befehle und den Remotezugriff auf sicherheitsrelevante Informationen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | AC.3.021 | Autorisieren Sie die Remoteausführung privilegierter Befehle und den Remotezugriff auf sicherheitsrelevante Informationen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | AC.3.021 | Autorisieren Sie die Remoteausführung privilegierter Befehle und den Remotezugriff auf sicherheitsrelevante Informationen. | Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | 3.1.0 |
| Zugriffssteuerung | AC.3.021 | Autorisieren Sie die Remoteausführung privilegierter Befehle und den Remotezugriff auf sicherheitsrelevante Informationen. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Zugriffssteuerung | AC.3.021 | Autorisieren Sie die Remoteausführung privilegierter Befehle und den Remotezugriff auf sicherheitsrelevante Informationen. | Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein | 1.0.3 |
| Zugriffssteuerung | AC.3.021 | Autorisieren Sie die Remoteausführung privilegierter Befehle und den Remotezugriff auf sicherheitsrelevante Informationen. | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| Zugriffssteuerung | AC.3.021 | Autorisieren Sie die Remoteausführung privilegierter Befehle und den Remotezugriff auf sicherheitsrelevante Informationen. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen | 3.0.0 |
| Zugriffssteuerung | AC.3.021 | Autorisieren Sie die Remoteausführung privilegierter Befehle und den Remotezugriff auf sicherheitsrelevante Informationen. | Windows-Computer müssen die Anforderungen für „Zuweisen von Benutzerrechten“ erfüllen | 3.0.0 |
| Überwachung und Verantwortlichkeit | AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | [Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | 2.0.1-preview |
| Überwachung und Verantwortlichkeit | AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein. | 2.0.1 |
| Überwachung und Verantwortlichkeit | AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Die Log Analytics-Erweiterung sollte auf Virtual Machine Scale Sets installiert sein. | 1.0.1 |
| Überwachung und Verantwortlichkeit | AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | 1.1.0 |
| Überwachung und Verantwortlichkeit | AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein. | 1.0.1 |
| Überwachung und Verantwortlichkeit | AU.2.042 | Führen Sie die Erstellung und Aufbewahrung von Systemüberwachungsprotokollen und -datensätzen in dem Maße durch, dass die Überwachung, Analyse, Untersuchung und Meldung von rechtwidrigen oder nicht autorisierten Systemaktivitäten möglich ist. | [Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | 2.0.1-preview |
| Überwachung und Verantwortlichkeit | AU.2.042 | Führen Sie die Erstellung und Aufbewahrung von Systemüberwachungsprotokollen und -datensätzen in dem Maße durch, dass die Überwachung, Analyse, Untersuchung und Meldung von rechtwidrigen oder nicht autorisierten Systemaktivitäten möglich ist. | Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein. | 2.0.1 |
| Überwachung und Verantwortlichkeit | AU.2.042 | Führen Sie die Erstellung und Aufbewahrung von Systemüberwachungsprotokollen und -datensätzen in dem Maße durch, dass die Überwachung, Analyse, Untersuchung und Meldung von rechtwidrigen oder nicht autorisierten Systemaktivitäten möglich ist. | Die Log Analytics-Erweiterung sollte auf Virtual Machine Scale Sets installiert sein. | 1.0.1 |
| Überwachung und Verantwortlichkeit | AU.2.042 | Führen Sie die Erstellung und Aufbewahrung von Systemüberwachungsprotokollen und -datensätzen in dem Maße durch, dass die Überwachung, Analyse, Untersuchung und Meldung von rechtwidrigen oder nicht autorisierten Systemaktivitäten möglich ist. | Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | 1.1.0 |
| Überwachung und Verantwortlichkeit | AU.2.042 | Führen Sie die Erstellung und Aufbewahrung von Systemüberwachungsprotokollen und -datensätzen in dem Maße durch, dass die Überwachung, Analyse, Untersuchung und Meldung von rechtwidrigen oder nicht autorisierten Systemaktivitäten möglich ist. | Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein. | 1.0.1 |
| Überwachung und Verantwortlichkeit | AU.3.046 | Warnung bei Auftreten eines Fehlers während des Überwachungsprotokollprozesses. | [Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | 2.0.1-preview |
| Überwachung und Verantwortlichkeit | AU.3.046 | Warnung bei Auftreten eines Fehlers während des Überwachungsprotokollprozesses. | Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein. | 2.0.1 |
| Überwachung und Verantwortlichkeit | AU.3.046 | Warnung bei Auftreten eines Fehlers während des Überwachungsprotokollprozesses. | Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | 1.1.0 |
| Überwachung und Verantwortlichkeit | AU.3.048 | Erfassen Sie Überwachungsinformationen (z. B. Protokolle) in zentralen Repositorys. | [Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | 2.0.1-preview |
| Überwachung und Verantwortlichkeit | AU.3.048 | Erfassen Sie Überwachungsinformationen (z. B. Protokolle) in zentralen Repositorys. | Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein. | 2.0.1 |
| Überwachung und Verantwortlichkeit | AU.3.048 | Erfassen Sie Überwachungsinformationen (z. B. Protokolle) in zentralen Repositorys. | Die Log Analytics-Erweiterung sollte auf Virtual Machine Scale Sets installiert sein. | 1.0.1 |
| Überwachung und Verantwortlichkeit | AU.3.048 | Erfassen Sie Überwachungsinformationen (z. B. Protokolle) in zentralen Repositorys. | Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | 1.1.0 |
| Überwachung und Verantwortlichkeit | AU.3.048 | Erfassen Sie Überwachungsinformationen (z. B. Protokolle) in zentralen Repositorys. | Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein. | 1.0.1 |
| Sicherheitsbewertung | CA.2.158 | Bewerten Sie in regelmäßigen Abständen die Sicherheitskontrollen in den Organisationssystemen, um festzustellen, ob die Kontrollen in ihrer Anwendung wirksam sind. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Sicherheitsbewertung | CA.3.161 | Überwachen Sie Sicherheitskontrollen fortlaufend, um die kontinuierliche Effektivität der Kontrollen sicherzustellen. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Konfigurationsverwaltung | CM.2.061 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.2.0 |
| Konfigurationsverwaltung | CM.2.062 | Verwenden Sie das Prinzip der geringsten Funktionen, indem Sie Organisationssysteme so konfigurieren, dass ausschließlich zentrale Funktionen bereitgestellt werden. | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Rechteverwendung“ erfüllen | 3.0.0 |
| Konfigurationsverwaltung | CM.2.063 | Kontrollieren und überwachen Sie die von Benutzern installierte Software. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen | 3.0.0 |
| Konfigurationsverwaltung | CM.2.064 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| Konfigurationsverwaltung | CM.2.064 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| Konfigurationsverwaltung | CM.2.065 | Sie können Protokolländerungen an Organisationssystemen nachverfolgen, überprüfen, genehmigen oder ablehnen. | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Richtlinienänderung“ erfüllen | 3.0.0 |
| Konfigurationsverwaltung | CM.3.068 | Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| Konfigurationsverwaltung | CM.3.068 | Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| Konfigurationsverwaltung | CM.3.068 | Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Konfigurationsverwaltung | CM.3.068 | Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| Identifizierung und Authentifizierung | IA.1.077 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Organisationsinformationssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten dieser Benutzer, Prozesse oder Geräte durch. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | IA.1.077 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Organisationsinformationssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten dieser Benutzer, Prozesse oder Geräte durch. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | IA.1.077 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Organisationsinformationssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten dieser Benutzer, Prozesse oder Geräte durch. | Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | 3.1.0 |
| Identifizierung und Authentifizierung | IA.1.077 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Organisationsinformationssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten dieser Benutzer, Prozesse oder Geräte durch. | Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | 3.1.0 |
| Identifizierung und Authentifizierung | IA.1.077 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Organisationsinformationssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten dieser Benutzer, Prozesse oder Geräte durch. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Identifizierung und Authentifizierung | IA.1.077 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Organisationsinformationssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten dieser Benutzer, Prozesse oder Geräte durch. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| Identifizierung und Authentifizierung | IA.2.078 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | IA.2.078 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | IA.2.078 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | 3.1.0 |
| Identifizierung und Authentifizierung | IA.2.078 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | 2.0.0 |
| Identifizierung und Authentifizierung | IA.2.078 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | 2.1.0 |
| Identifizierung und Authentifizierung | IA.2.078 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Identifizierung und Authentifizierung | IA.2.078 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| Identifizierung und Authentifizierung | IA.2.079 | Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Erstellungen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | IA.2.079 | Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Erstellungen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | IA.2.079 | Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Erstellungen. | Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | 2.1.0 |
| Identifizierung und Authentifizierung | IA.2.079 | Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Erstellungen. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Identifizierung und Authentifizierung | IA.2.079 | Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Erstellungen. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| Identifizierung und Authentifizierung | IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | 2.0.0 |
| Identifizierung und Authentifizierung | IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Identifizierung und Authentifizierung | IA.2.081 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| Identifizierung und Authentifizierung | IA.3.084 | Nutzen Sie einen Authentifizierungsmechanismus für den Netzwerkzugriff auf privilegierte und nicht privilegierte Konten, der Schutz vor Replay-Angriffen bietet. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| Wiederherstellung | RE.2.137 | Führen Sie regelmäßig Datensicherungen durch, und testen Sie sie. | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| Wiederherstellung | RE.2.137 | Führen Sie regelmäßig Datensicherungen durch, und testen Sie sie. | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| Wiederherstellung | RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und resiliente Datensicherungen gemäß den Vorgaben der Organisation durch. | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| Wiederherstellung | RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und resiliente Datensicherungen gemäß den Vorgaben der Organisation durch. | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| Risikobewertung | RM.2.141 | Bewerten Sie in regelmäßigen Abständen das Risiko für Organisationsvorgänge (einschließlich Mission, Funktionen, Image oder Ruf), Organisationsressourcen und Einzelpersonen, die sich aus dem Betrieb der Organisationssysteme und der zugeordneten Verarbeitung, Speicherung oder Übertragung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) ergeben. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Risikobewertung | RM.2.142 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen | 3.0.0 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| System- und Kommunikationsschutz | SC.1.176 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| System- und Kommunikationsschutz | SC.1.176 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | SC.2.179 | Verwenden Sie verschlüsselte Sitzungen für die Verwaltung von Netzwerkgeräten. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | SC.3.177 | Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). | Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | 2.0.0 |
| System- und Kommunikationsschutz | SC.3.181 | Trennen Sie die Benutzerfunktionen von den Systemverwaltungsfunktionen. | Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | 2.0.0 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen | 3.0.0 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| System- und Kommunikationsschutz | SC.3.185 | Implementieren Sie kryptografische Mechanismen zur Verhinderung einer unbefugten Offenlegung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) während der Übertragung, sofern diese nicht durch andere physische Sicherheitsmaßnahmen geschützt sind. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| System- und Kommunikationsschutz | SC.3.190 | Schützen Sie die Authentizität von Kommunikationssitzungen. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| System- und Informationsintegrität | SI.1.210 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Informationsfehlern und Informationssystemfehlern. | Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | 1.0.0 |
| System- und Informationsintegrität | SI.1.210 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Informationsfehlern und Informationssystemfehlern. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| System- und Informationsintegrität | SI.1.211 | Sorgen Sie an geeigneten Stellen in Organisationsinformationssystemen für Schutz vor schädlichem Code. | Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | 1.0.0 |
| System- und Informationsintegrität | SI.1.211 | Sorgen Sie an geeigneten Stellen in Organisationsinformationssystemen für Schutz vor schädlichem Code. | Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden | 1.1.0 |
| System- und Informationsintegrität | SI.1.212 | Aktualisieren Sie Mechanismen zum Schutz vor schädlichem Code, wenn neue Releases verfügbar sind. | Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | 1.0.0 |
| System- und Informationsintegrität | SI.1.213 | Führen Sie regelmäßig Überprüfungen des Informationssystems sowie Echtzeitüberprüfungen externer Quellen beim Herunterladen, Öffnen oder Ausführen von Dateien durch. | Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | 1.0.0 |
| System- und Informationsintegrität | SI.1.213 | Führen Sie regelmäßig Überprüfungen des Informationssystems sowie Echtzeitüberprüfungen externer Quellen beim Herunterladen, Öffnen oder Ausführen von Dateien durch. | Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden | 1.1.0 |
FedRAMP High
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.
FedRAMP Moderate
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.
HIPAA HITRUST 9.2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: HIPAA HITRUST 9.2. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter HIPAA HITRUST 9.2.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Identifizierung und Authentifizierung von Benutzern | 11210.01q2Organizational.10 - 01.q | Elektronische und handschriftliche Signaturen, die für elektronische Datensätze ausgeführt werden, sollen mit den entsprechenden elektronischen Datensätzen verknüpft werden. | Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | 2.0.0 |
| Identifizierung und Authentifizierung von Benutzern | 11211.01q2Organizational.11 - 01.q | Signierte elektronische Datensätze sollen die mit dem Signiervorgang verbundenen Informationen in einem für Menschen lesbaren Format enthalten. | Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen | 2.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Schutz vor böswilligem und mobilem Code | Microsoft IaaSAntimalware-Standarderweiterung für Windows Server bereitstellen | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Schutz vor böswilligem und mobilem Code | Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | 1.0.0 |
| 06 Konfigurationsverwaltung | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicherheit von Systemdateien | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| 06 Konfigurationsverwaltung | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicherheit von Systemdateien | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Überwachen“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Sicherheit von Systemdateien | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoverwaltung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 06 Konfigurationsverwaltung | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Sicherheit in Entwicklungs- und Supportprozessen | Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | 3.0.0 |
| 07 Verwaltung von Sicherheitsrisiken | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| 07 Verwaltung von Sicherheitsrisiken | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| 07 Verwaltung von Sicherheitsrisiken | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ erfüllen | 3.0.0 |
| 07 Verwaltung von Sicherheitsrisiken | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| 07 Verwaltung von Sicherheitsrisiken | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| 07 Verwaltung von Sicherheitsrisiken | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| 08 Netzwerkschutz | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Netzwerkzugriffssteuerung | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 08 Netzwerkschutz | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Netzwerkzugriffssteuerung | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 08 Netzwerkschutz | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Netzwerkzugriffssteuerung | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 08 Netzwerkschutz | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Netzwerkzugriffssteuerung | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 08 Netzwerkschutz | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Netzwerkzugriffssteuerung | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 08 Netzwerkschutz | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Netzwerkzugriffssteuerung | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 08 Netzwerkschutz | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Netzwerkzugriffssteuerung | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 08 Netzwerkschutz | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Netzwerksicherheitsverwaltung | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| 08 Netzwerkschutz | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Netzwerksicherheitsverwaltung | VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | 1.0.0 |
| 08 Netzwerkschutz | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Netzwerksicherheitsverwaltung | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| 08 Netzwerkschutz | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Netzwerksicherheitsverwaltung | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| 08 Netzwerkschutz | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Netzwerksicherheitsverwaltung | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| 08 Netzwerkschutz | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Netzwerksicherheitsverwaltung | Windows-Computer müssen die Anforderungen für „Windows-Firewalleigenschaften“ erfüllen | 3.0.0 |
| 08 Netzwerkschutz | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Netzwerksicherheitsverwaltung | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen | 3.0.0 |
| 08 Netzwerkschutz | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Netzwerksicherheitsverwaltung | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| 08 Netzwerkschutz | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Netzwerksicherheitsverwaltung | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| 08 Netzwerkschutz | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Netzwerkzugriffssteuerung | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| Sichern | 1699.09l1Organizational.10 - 09.l | Die Rollen und Zuständigkeiten von Mitarbeitern im Datensicherungsprozess werden identifiziert und an die Mitarbeiter weitergegeben; insbesondere Bring Your Own Device-Benutzer (BYOD) müssen auf ihren Geräten Sicherungen von Organisations- und/oder Clientdaten durchführen. | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| 09 Übertragungsschutz | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Elektronische Handelsdienstleistungen | Windows-Computer überwachen, die nicht die angegebenen Zertifikate im vertrauenswürdigen Stamm enthalten | 3.0.0 |
| 11 Zugriffssteuerung | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Autorisierter Zugriff auf Informationssysteme | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| 11 Zugriffssteuerung | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Netzwerkzugriffssteuerung | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| 11 Zugriffssteuerung | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Zugriffssteuerung für das Betriebssystem | Windows-Computer überwachen, die zusätzliche Konten in der Administratorgruppe enthalten | 2.0.0 |
| 11 Zugriffssteuerung | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Zugriffssteuerung für das Betriebssystem | Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | 2.0.0 |
| 11 Zugriffssteuerung | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Zugriffssteuerung für das Betriebssystem | Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen | 2.0.0 |
| 11 Zugriffssteuerung | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Autorisierter Zugriff auf Informationssysteme | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| 11 Zugriffssteuerung | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Autorisierter Zugriff auf Informationssysteme | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Konten“ erfüllen | 3.0.0 |
| 11 Zugriffssteuerung | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Autorisierter Zugriff auf Informationssysteme | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| 11 Zugriffssteuerung | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Netzwerkzugriffssteuerung | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| 11 Zugriffssteuerung | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Netzwerkzugriffssteuerung | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| 11 Zugriffssteuerung | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Netzwerkzugriffssteuerung | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| 11 Zugriffssteuerung | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Netzwerkzugriffssteuerung | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| 12 Überwachungsprotokollierung und Überwachung | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Überwachung | Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein. | 1.0.1 |
| 12 Überwachungsprotokollierung und Überwachung | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Überwachung | Die Log Analytics-Erweiterung sollte auf Virtual Machine Scale Sets installiert sein. | 1.0.1 |
| 12 Überwachungsprotokollierung und Überwachung | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Überwachung | Windows-Computer überwachen, auf denen der Log Analytics-Agent nicht wie erwartet verbunden ist | 2.0.0 |
| 12 Überwachungsprotokollierung und Überwachung | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Überwachung | Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein. | 1.0.1 |
| 12 Überwachungsprotokollierung und Überwachung | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Überwachung | Die Log Analytics-Erweiterung sollte auf Virtual Machine Scale Sets installiert sein. | 1.0.1 |
| 12 Überwachungsprotokollierung und Überwachung | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Überwachung | Windows-Computer überwachen, auf denen der Log Analytics-Agent nicht wie erwartet verbunden ist | 2.0.0 |
| 12 Überwachungsprotokollierung und Überwachung | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Dokumentierte Betriebsverfahren | Windows-Computer müssen die Anforderungen für „Zuweisen von Benutzerrechten“ erfüllen | 3.0.0 |
| 12 Überwachungsprotokollierung und Überwachung | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Dokumentierte Betriebsverfahren | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen | 3.0.0 |
| 16 Geschäftskontinuität und Notfallwiederherstellung | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Informationssicherung | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| 16 Geschäftskontinuität und Notfallwiederherstellung | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Informationssicherung | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| 16 Geschäftskontinuität und Notfallwiederherstellung | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Informationssicherheitsaspekte der Verwaltung der Geschäftskontinuität | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| 16 Geschäftskontinuität und Notfallwiederherstellung | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Informationssicherheitsaspekte der Verwaltung der Geschäftskontinuität | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Wiederherstellungskonsole“ erfüllen | 3.0.0 |
| 16 Geschäftskontinuität und Notfallwiederherstellung | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Informationssicherheitsaspekte der Verwaltung der Geschäftskontinuität | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
IRS 1075, September 2016
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: IRS 1075 September 2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter IRS 1075, September 2016.
ISO 27001:2013
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: ISO 27001:2013. Weitere Informationen zu diesem Compliancestandard finden Sie unter ISO 27001:2013.
Grundwerte für vertrauliche Richtlinien für Microsoft Cloud for Sovereignty
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Grundwerte für vertrauliche Richtlinien für MCfS. Weitere Informationen zu diesem Compliancestandard finden Sie im Microsoft Cloud for Sovereignty-Vertragsbestand.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| SO.3: Kundenseitig verwaltete Schlüssel | SO.3 | Azure-Produkte müssen so konfiguriert werden, dass nach Möglichkeit kundenseitig verwaltete Schlüssel verwendet werden. | Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.0 |
| SO.4 – Azure Confidential Computing | SO.4 | Azure-Produkte müssen so konfiguriert werden, dass nach Möglichkeit Azure Confidential Computing-SKUs verwendet werden. | Zulässige SKUs für VM-Größen | 1.0.1 |
Grundwerte für globale Richtlinien für Microsoft Cloud for Sovereignty
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Grundwerte für globale Richtlinien für MCfS. Weitere Informationen zu diesem Compliancestandard finden Sie im Microsoft Cloud for Sovereignty-Vertragsbestand.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| SO.5 – Vertrauenswürdiger Start | SO.5 | VMs sollten nach Möglichkeit mit SKUs für vertrauenswürdige Starts und aktiviertem vertrauenswürdiger Start konfiguriert werden. | Datenträger und Betriebssystemimage sollten TrustedLaunch unterstützen | 1.0.0 |
| SO.5 – Vertrauenswürdiger Start | SO.5 | VMs sollten nach Möglichkeit mit SKUs für vertrauenswürdige Starts und aktiviertem vertrauenswürdiger Start konfiguriert werden. | Für den virtuellen Computer sollte TrustedLaunch aktiviert sein | 1.0.0 |
Microsoft Cloud Security Benchmark
Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die vollständige Zuordnung dieses Diensts zum Microsoft-Cloudsicherheitsbenchmark finden Sie in den Zuordnungsdateien zum Azure Security Benchmark.
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Azure Policy-Einhaltung gesetzlicher Vorschriften – Microsoft-Cloudsicherheitsbenchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Netzwerksicherheit | NS-1 | Einrichten von Grenzen für die Netzwerksegmentierung | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| Netzwerksicherheit | NS-1 | Einrichten von Grenzen für die Netzwerksegmentierung | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| Netzwerksicherheit | NS-1 | Einrichten von Grenzen für die Netzwerksegmentierung | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| Netzwerksicherheit | NS-3 | Bereitstellen einer Firewall am Edge des Unternehmensnetzwerks | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| Netzwerksicherheit | NS-3 | Bereitstellen einer Firewall am Edge des Unternehmensnetzwerks | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Netzwerksicherheit | NS-3 | Bereitstellen einer Firewall am Edge des Unternehmensnetzwerks | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| Identitätsverwaltung | IM-3 | Sicheres und automatisches Verwalten von Anwendungsidentitäten | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| Identitätsverwaltung | IM-6 | Verwenden von strengen Authentifizierungskontrollen | Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | 3.2.0 |
| Identitätsverwaltung | IM-8 | Einschränken der Freisetzung von Anmeldeinformationen und Geheimnissen | Geheime Ergebnisse auf Computern müssen aufgelöst werden | 1.0.2 |
| Privilegierter Zugriff | PA-2 | Vermeiden von ständigem Zugriff für Konten und Berechtigungen | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Datenschutz | DP-3 | Verschlüsseln vertraulicher Daten während der Übertragung | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| Datenschutz | DP-4 | Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten | Auf Linux-VMs sollten Azure Disk Encryption oder EncryptionAtHost aktiviert werden. | 1.2.1 |
| Datenschutz | DP-4 | Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten | Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | 1.0.0 |
| Datenschutz | DP-4 | Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten | Auf Windows-VMs sollten Azure Disk Encryption oder EncryptionAtHost aktiviert werden. | 1.1.1 |
| Ressourcenverwaltung | AM-2 | Verwenden ausschließlich genehmigter Dienste | VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | 1.0.0 |
| Protokollierung und Bedrohungserkennung | LT-1 | Aktivieren von Bedrohungserkennungsfunktionen | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| Protokollierung und Bedrohungserkennung | LT-2 | Aktivieren von Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| Protokollierung und Bedrohungserkennung | LT-4 | Aktivieren der Netzwerkprotokollierung für die Sicherheitsuntersuchung | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| Protokollierung und Bedrohungserkennung | LT-4 | Aktivieren der Netzwerkprotokollierung für die Sicherheitsuntersuchung | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überprüfung und Aufrechterhalten sicherer Konfigurationen für Computeressourcen | [Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | 6.0.0-preview |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überprüfung und Aufrechterhalten sicherer Konfigurationen für Computeressourcen | [Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 5.1.0-preview |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überprüfung und Aufrechterhalten sicherer Konfigurationen für Computeressourcen | [Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein | 4.0.0-preview |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überprüfung und Aufrechterhalten sicherer Konfigurationen für Computeressourcen | [Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 3.1.0-preview |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen | [Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden | 1.0.0-preview |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überprüfung und Aufrechterhalten sicherer Konfigurationen für Computeressourcen | [Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein | 4.0.0-preview |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überprüfung und Aufrechterhalten sicherer Konfigurationen für Computeressourcen | [Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | 2.0.0-preview |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen | Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | 1.0.3 |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen | Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-4 | Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen | Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-5 | Durchführen von Sicherheitsrisikobewertungen | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-5 | Durchführen von Sicherheitsrisikobewertungen | Geheime Ergebnisse auf Computern müssen aufgelöst werden | 1.0.2 |
| Status- und Sicherheitsrisikoverwaltung | PV-6 | Schnelles und automatisches Beheben von Sicherheitsrisiken | Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird | 3.7.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-6 | Schnelles und automatisches Beheben von Sicherheitsrisiken | Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | 1.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-6 | Schnelles und automatisches Beheben von Sicherheitsrisiken | Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | 1.0.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-6 | Schnelles und automatisches Beheben von Sicherheitsrisiken | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| Endpunktsicherheit | ES-2 | Verwenden moderner Antischadsoftware | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| Sicherung und Wiederherstellung | BR-1 | Sicherstellen regelmäßiger automatisierter Sicherungen | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| Sicherung und Wiederherstellung | BR-2 | Schützen von Sicherungs- und Wiederherstellungsdaten | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
NIST SP 800-171 R2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | 3.1.0 |
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | 3.1.0 |
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | 3.2.0 |
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | 3.1.0 |
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Datenträgerzugriffsressourcen müssen Private Link verwenden | 1.0.0 |
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | 1.0.0 |
| Zugriffssteuerung | 3.1.12 | Überwachen und Steuern von Remotezugriffssitzungen | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | 3.1.12 | Überwachen und Steuern von Remotezugriffssitzungen | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Zugriffssteuerung | 3.1.12 | Überwachen und Steuern von Remotezugriffssitzungen | Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | 3.1.0 |
| Zugriffssteuerung | 3.1.12 | Überwachen und Steuern von Remotezugriffssitzungen | Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | 3.1.0 |
| Zugriffssteuerung | 3.1.12 | Überwachen und Steuern von Remotezugriffssitzungen | Datenträgerzugriffsressourcen müssen Private Link verwenden | 1.0.0 |
| Zugriffssteuerung | 3.1.13 | Implementieren Sie Kryptografiemechanismen zum Schutz der Vertraulichkeit von Remotezugriffssitzungen. | Datenträgerzugriffsressourcen müssen Private Link verwenden | 1.0.0 |
| Zugriffssteuerung | 3.1.14 | Leiten Sie Remotezugriff über verwaltete Zugriffssteuerungspunkte. | Datenträgerzugriffsressourcen müssen Private Link verwenden | 1.0.0 |
| Zugriffssteuerung | 3.1.2 | Beschränken Sie den Systemzugriff auf die Arten von Transaktionen und Funktionen, die von autorisierten Benutzer*innen ausgeführt werden dürfen. | VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | 1.0.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Datenträgerzugriffsressourcen müssen Private Link verwenden | 1.0.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| Zugriffssteuerung | 3.1.4 | Trennen Sie die Aufgaben einzelner Personen, um das Risiko für böswillige Aktivitäten ohne Absprache zu verringern. | Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen | 2.0.0 |
| Zugriffssteuerung | 3.1.4 | Trennen Sie die Aufgaben einzelner Personen, um das Risiko für böswillige Aktivitäten ohne Absprache zu verringern. | Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | 2.0.0 |
| Risikobewertung | 3.11.2 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Risikobewertung | 3.11.2 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | 1.0.0 |
| Risikobewertung | 3.11.2 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| Risikobewertung | 3.11.3 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Risikobewertung | 3.11.3 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | 1.0.0 |
| Risikobewertung | 3.11.3 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Datenträgerzugriffsressourcen müssen Private Link verwenden | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.10 | Sie können Kryptografieschlüssel für die Kryptografie einrichten und verwalten, die in den Organisationssystemen eingesetzt wird. | Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.10 | Sie können Kryptografieschlüssel für die Kryptografie einrichten und verwalten, die in den Organisationssystemen eingesetzt wird. | Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.16 | Schützen Sie die Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) im ruhenden Zustand. | Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Datenträgerzugriffsressourcen müssen Private Link verwenden | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Datenträgerzugriffsressourcen müssen Private Link verwenden | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.8 | Implementieren Sie kryptografische Mechanismen zur Verhinderung einer unbefugten Offenlegung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) während der Übertragung, sofern diese nicht durch andere physische Sicherheitsmaßnahmen geschützt sind. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| System- und Informationsintegrität | 3.14.1 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Systemfehlern. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| System- und Informationsintegrität | 3.14.1 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Systemfehlern. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| System- und Informationsintegrität | 3.14.1 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Systemfehlern. | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| System- und Informationsintegrität | 3.14.2 | Sorgen Sie für den Schutz vor schädlichem Code an bestimmten Orten von Unternehmenssystemen. | Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | 1.0.0 |
| System- und Informationsintegrität | 3.14.2 | Sorgen Sie für den Schutz vor schädlichem Code an bestimmten Orten von Unternehmenssystemen. | Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden | 1.1.0 |
| System- und Informationsintegrität | 3.14.2 | Sorgen Sie für den Schutz vor schädlichem Code an bestimmten Orten von Unternehmenssystemen. | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| System- und Informationsintegrität | 3.14.4 | Aktualisieren Sie Mechanismen zum Schutz vor schädlichem Code, wenn neue Releases verfügbar sind. | Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | 1.0.0 |
| System- und Informationsintegrität | 3.14.4 | Aktualisieren Sie Mechanismen zum Schutz vor schädlichem Code, wenn neue Releases verfügbar sind. | Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden | 1.1.0 |
| System- und Informationsintegrität | 3.14.4 | Aktualisieren Sie Mechanismen zum Schutz vor schädlichem Code, wenn neue Releases verfügbar sind. | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| System- und Informationsintegrität | 3.14.5 | Führen Sie regelmäßige Überprüfungen der Organisationssysteme und Echtzeitüberprüfungen von Dateien aus externen Quellen durch, wenn Dateien heruntergeladen, geöffnet oder ausgeführt werden. | Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | 1.0.0 |
| System- und Informationsintegrität | 3.14.5 | Führen Sie regelmäßige Überprüfungen der Organisationssysteme und Echtzeitüberprüfungen von Dateien aus externen Quellen durch, wenn Dateien heruntergeladen, geöffnet oder ausgeführt werden. | Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden | 1.1.0 |
| System- und Informationsintegrität | 3.14.5 | Führen Sie regelmäßige Überprüfungen der Organisationssysteme und Echtzeitüberprüfungen von Dateien aus externen Quellen durch, wenn Dateien heruntergeladen, geöffnet oder ausgeführt werden. | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| System- und Informationsintegrität | 3.14.6 | Überwachen Sie die Unternehmenssysteme, einschließlich des ein- und ausgehenden Kommunikationsdatenverkehrs, um Angriffe und Anzeichen für potenzielle Angriffe zu erkennen. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| System- und Informationsintegrität | 3.14.6 | Überwachen Sie die Unternehmenssysteme, einschließlich des ein- und ausgehenden Kommunikationsdatenverkehrs, um Angriffe und Anzeichen für potenzielle Angriffe zu erkennen. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| System- und Informationsintegrität | 3.14.6 | Überwachen Sie die Unternehmenssysteme, einschließlich des ein- und ausgehenden Kommunikationsdatenverkehrs, um Angriffe und Anzeichen für potenzielle Angriffe zu erkennen. | Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein | 1.0.3 |
| System- und Informationsintegrität | 3.14.6 | Überwachen Sie die Unternehmenssysteme, einschließlich des ein- und ausgehenden Kommunikationsdatenverkehrs, um Angriffe und Anzeichen für potenzielle Angriffe zu erkennen. | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| System- und Informationsintegrität | 3.14.7 | Identifizieren Sie die nicht autorisierte Verwendung von Organisationssystemen. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| System- und Informationsintegrität | 3.14.7 | Identifizieren Sie die nicht autorisierte Verwendung von Organisationssystemen. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| System- und Informationsintegrität | 3.14.7 | Identifizieren Sie die nicht autorisierte Verwendung von Organisationssystemen. | Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein | 1.0.3 |
| System- und Informationsintegrität | 3.14.7 | Identifizieren Sie die nicht autorisierte Verwendung von Organisationssystemen. | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein | 1.0.3 |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | Die Log Analytics-Erweiterung sollte auf Virtual Machine Scale Sets installiert sein. | 1.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | 1.1.0 |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein. | 1.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein | 1.0.3 |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Die Log Analytics-Erweiterung sollte auf Virtual Machine Scale Sets installiert sein. | 1.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | 1.1.0 |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein. | 1.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.0.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. | 2.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.0.0 |
| Identifizierung und Authentifizierung | 3.5.10 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | 3.5.10 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | 3.5.10 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | 3.1.0 |
| Identifizierung und Authentifizierung | 3.5.10 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | 2.0.0 |
| Identifizierung und Authentifizierung | 3.5.10 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | 3.1.0 |
| Identifizierung und Authentifizierung | 3.5.10 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Identifizierung und Authentifizierung | 3.5.10 | Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| Identifizierung und Authentifizierung | 3.5.2 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Unternehmenssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten von Benutzern, Prozessen oder Geräten durch. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | 3.5.2 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Unternehmenssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten von Benutzern, Prozessen oder Geräten durch. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | 3.5.2 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Unternehmenssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten von Benutzern, Prozessen oder Geräten durch. | Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | 3.1.0 |
| Identifizierung und Authentifizierung | 3.5.2 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Unternehmenssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten von Benutzern, Prozessen oder Geräten durch. | Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | 2.0.0 |
| Identifizierung und Authentifizierung | 3.5.2 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Unternehmenssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten von Benutzern, Prozessen oder Geräten durch. | Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | 3.2.0 |
| Identifizierung und Authentifizierung | 3.5.2 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Unternehmenssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten von Benutzern, Prozessen oder Geräten durch. | Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | 3.1.0 |
| Identifizierung und Authentifizierung | 3.5.2 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Unternehmenssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten von Benutzern, Prozessen oder Geräten durch. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Identifizierung und Authentifizierung | 3.5.4 | Verwenden Sie für den Netzwerkzugriff auf privilegierte und nicht privilegierte Konten Authentifizierungsmechanismen, die Schutz vor Replay-Angriffen bieten. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | 3.0.0 |
| Identifizierung und Authentifizierung | 3.5.7 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | 3.5.7 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | 3.5.7 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | 2.0.0 |
| Identifizierung und Authentifizierung | 3.5.7 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | 2.1.0 |
| Identifizierung und Authentifizierung | 3.5.7 | Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Identifizierung und Authentifizierung | 3.5.8 | Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Erstellungen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | 3.5.8 | Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Erstellungen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Identifizierung und Authentifizierung | 3.5.8 | Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Erstellungen. | Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | 2.1.0 |
| Identifizierung und Authentifizierung | 3.5.8 | Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Erstellungen. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| Medienschutz | 3.8.9 | Schützen Sie die Vertraulichkeit von CUI-Sicherungen an Speicherorten. | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
NIST SP 800-53 Rev. 4
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.
NL BIO Cloud Design
Wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliance-Standard entsprechen, können Sie unter Azure Policy – Gesetzliche Bestimmungen – Details für PCI-DSS v4.0 nachlesen. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| C.04.3 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.3 | Wenn die Wahrscheinlichkeit eines Missbrauchs und der erwartete Schaden beide hoch sind, werden Patches nicht später als innerhalb einer Woche installiert. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| C.04.3 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.3 | Wenn die Wahrscheinlichkeit eines Missbrauchs und der erwartete Schaden beide hoch sind, werden Patches nicht später als innerhalb einer Woche installiert. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| C.04.3 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.3 | Wenn die Wahrscheinlichkeit eines Missbrauchs und der erwartete Schaden beide hoch sind, werden Patches nicht später als innerhalb einer Woche installiert. | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| C.04.6 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.6 | Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| C.04.6 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.6 | Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| C.04.6 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.6 | Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden. | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Auswertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Auswertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Auswertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| C.04.8 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.8 | Die Auswertungsberichte enthalten Verbesserungsvorschläge und werden mit Managern/Besitzern kommuniziert. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| C.04.8 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.8 | Die Auswertungsberichte enthalten Verbesserungsvorschläge und werden mit Managern/Besitzern kommuniziert. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| U.03.1 Services für Unternehmenskontinuität – Redundanz | U.03.1 | Die vereinbarte Kontinuität wird durch hinreichend logische oder mehrere physische Systemfunktionen gewährleistet. | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| U.03.1 Services für Unternehmenskontinuität – Redundanz | U.03.1 | Die vereinbarte Kontinuität wird durch hinreichend logische oder mehrere physische Systemfunktionen gewährleistet. | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| U.03.2 Services für Unternehmenskontinuität – Kontinuitätsanforderungen | U.03.2 | Die mit dem CSC vereinbarten Kontinuitätsanforderungen für Clouddienste werden durch die Systemarchitektur sichergestellt. | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| U.03.2 Services für Unternehmenskontinuität – Kontinuitätsanforderungen | U.03.2 | Die mit dem CSC vereinbarten Kontinuitätsanforderungen für Clouddienste werden durch die Systemarchitektur sichergestellt. | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| U.04.1 Daten- und Clouddienstwiederherstellung – Wiederherstellungsfunktion | U.04.1 | Die Daten und Clouddienste werden innerhalb des vereinbarten Zeitraums und mit maximalem Datenverlust wiederhergestellt und dem CSC zur Verfügung gestellt. | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| U.04.2 Daten- und Clouddienstwiederherstellung – Wiederherstellungsfunktion | U.04.2 | Der kontinuierliche Prozess des wiederherstellbaren Schutzes von Daten wird überwacht. | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| U.04.3 Daten- und Clouddienstwiederherstellung – getestet | U.04.3 | Das Funktionieren von Wiederherstellungsfunktionen wird regelmäßig getestet und die Ergebnisse werden mit dem CSC geteilt. | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| U.05.1 Datenschutz – Kryptografische Maßnahmen | U.05.1 | Der Datentransport wird mit Kryptografie gesichert, bei der die Schlüsselverwaltung, wenn möglich, von der CSC selbst durchgeführt wird. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | [Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | 6.0.0-preview |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | [Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 5.1.0-preview |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | [Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein | 4.0.0-preview |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | [Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 3.1.0-preview |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | [Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein | 4.0.0-preview |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | [Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | 2.0.0-preview |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.0 |
| U.05.2 Datenschutz: kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 3.0.0 |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | 1.0.0 |
| U.07.1 Datentrennung – Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| U.07.1 Datentrennung - Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Datenträgerzugriffsressourcen müssen Private Link verwenden | 1.0.0 |
| U.07.1 Datentrennung – Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| U.07.1 Datentrennung - Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| U.07.1 Datentrennung - Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| U.07.1 Datentrennung - Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| U.07.1 Datentrennung - Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.2 | Unter der Verantwortung des CSP wird Administratoren der Zugriff gewährt. | Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | 3.1.0 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.2 | Unter der Verantwortung des CSP wird Administratoren der Zugriff gewährt. | Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | 3.1.0 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.2 | Unter der Verantwortung des CSP wird Administratoren der Zugriff gewährt. | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.2 | Unter der Verantwortung des CSP wird Administratoren der Zugriff gewährt. | VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | 1.0.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.3 | Nur Benutzer mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | 3.1.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.3 | Nur Benutzer mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | 3.1.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.3 | Nur Benutzer mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.3 | Nur Benutzer mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | 1.0.0 |
| U.10.5 Zugriff auf IT-Dienste und -Daten - Kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | 3.1.0 |
| U.10.5 Zugriff auf IT-Dienste und -Daten - Kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | 3.1.0 |
| U.10.5 Zugriff auf IT-Dienste und -Daten - Kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| U.10.5 Zugriff auf IT-Dienste und -Daten - Kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | 1.0.0 |
| U.11.1 Cryptoservices - Richtlinie | U.11.1 | In der Kryptografierichtlinie wurden zumindest die Themen gemäß BIO ausgearbeitet. | Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | 2.0.0 |
| U.11.1 Cryptoservices – Richtlinie | U.11.1 | In der Kryptografierichtlinie wurden zumindest die Themen gemäß BIO ausgearbeitet. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| U.11.2 Cryptoservices - Kryptografische Measures | U.11.2 | Bei PKIoverheid-Zertifikaten werden PKIoverheid-Anforderungen für die Schlüsselverwaltung verwendet. Verwenden Sie in anderen Situationen ISO11770. | Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | 2.0.0 |
| U.11.2 Cryptoservices - Kryptografische Measures | U.11.2 | Bei PKIoverheid-Zertifikaten werden PKIoverheid-Anforderungen für die Schlüsselverwaltung verwendet. Verwenden Sie in anderen Situationen ISO11770. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | [Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | 6.0.0-preview |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | [Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 5.1.0-preview |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | [Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein | 4.0.0-preview |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | [Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 3.1.0-preview |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | [Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein | 4.0.0-preview |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | [Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | 2.0.0-preview |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.0 |
| U.11.3 Cryptoservices – Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 3.0.0 |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | 1.0.0 |
| U.12.1-Schnittstellen – Netzwerkverbindungen | U.12.1 | An Verbindungsstellen mit externen oder nicht vertrauenswürdigen Zonen werden Maßnahmen gegen Angriffe ergriffen. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| U.12.1-Schnittstellen – Netzwerkverbindungen | U.12.1 | An Verbindungsstellen mit externen oder nicht vertrauenswürdigen Zonen werden Maßnahmen gegen Angriffe ergriffen. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| U.12.2-Schnittstellen – Netzwerkverbindungen | U.12.2 | Netzwerkkomponenten sind so, dass Netzwerkverbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken eingeschränkt sind. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| U.12.2-Schnittstellen – Netzwerkverbindungen | U.12.2 | Netzwerkkomponenten sind so, dass Netzwerkverbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken eingeschränkt sind. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und dem CSC aufgezeichnet. | [Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | 2.0.1-preview |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und dem CSC aufgezeichnet. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und dem CSC aufgezeichnet. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und dem CSC aufgezeichnet. | Für die aufgelisteten VM-Images muss der Dependency-Agent aktiviert werden | 2.0.0 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und dem CSC aufgezeichnet. | Für die aufgelisteten VM-Images muss der Dependency-Agent in VM-Skalierungsgruppen aktiviert werden | 2.0.0 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und dem CSC aufgezeichnet. | Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein | 1.0.3 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und dem CSC aufgezeichnet. | Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein. | 2.0.1 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und dem CSC aufgezeichnet. | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| U.15.3 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.3 | CSP verwaltet eine Liste aller Ressourcen, die für die Protokollierung und Überwachung von entscheidender Bedeutung sind, und überprüft diese Liste. | [Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | 2.0.1-preview |
| U.15.3 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.3 | CSP verwaltet eine Liste aller Ressourcen, die für die Protokollierung und Überwachung von entscheidender Bedeutung sind, und überprüft diese Liste. | Für die aufgelisteten VM-Images muss der Dependency-Agent aktiviert werden | 2.0.0 |
| U.15.3 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.3 | CSP verwaltet eine Liste aller Ressourcen, die für die Protokollierung und Überwachung von entscheidender Bedeutung sind, und überprüft diese Liste. | Für die aufgelisteten VM-Images muss der Dependency-Agent in VM-Skalierungsgruppen aktiviert werden | 2.0.0 |
| U.15.3 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.3 | CSP verwaltet eine Liste aller Ressourcen, die für die Protokollierung und Überwachung von entscheidender Bedeutung sind, und überprüft diese Liste. | Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein. | 2.0.1 |
| U.17.1 Multimandantenarchitektur – Verschlüsselt | U.17.1 | CSC-Daten zum Transport und ruhenden Daten werden verschlüsselt. | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| U.17.1 Multimandantenarchitektur – Verschlüsselt | U.17.1 | CSC-Daten zum Transport und ruhenden Daten werden verschlüsselt. | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
PCI-DSS 3.2.1
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter PCI-DSS 3.2.1. Weitere Informationen zu diesem Compliancestandard finden Sie unter PCI-DSS 3.2.1.
PCI-DSS v4.0
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Details zur Azure Policy-Einhaltung gesetzlicher Vorschriften für PCI-DSS v4.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter PCI-DSS v4.0.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Anforderung 01: Installieren und Verwalten von Netzwerksicherheitskontrollen | 1.3.2 | Der Netzwerkzugriff auf die und von der Datenumgebung des Karteninhabers ist eingeschränkt. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| Anforderung 01: Installieren und Verwalten von Netzwerksicherheitskontrollen | 1.4.2 | Netzwerkverbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken werden kontrolliert. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten | 10.2.2 | Überwachungsprotokolle werden implementiert, um die Erkennung von Anomalien und verdächtigen Aktivitäten sowie die forensische Analyse von Ereignissen zu unterstützen. | VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | 1.0.0 |
| Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten | 10.3.3 | Überwachungsprotokolle sind vor Vernichtung und nicht autorisierten Änderungen geschützt. | VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | 1.0.0 |
| Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken | 11.3.1 | Externe und interne Sicherheitsrisiken werden regelmäßig identifiziert, priorisiert und behoben. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken | 11.3.1 | Externe und interne Sicherheitsrisiken werden regelmäßig identifiziert, priorisiert und behoben. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| Anforderung 05: Schutz aller Systeme und Netzwerke vor Schadsoftware | 5.2.1 | Schadsoftware (Malware) wird verhindert, erkannt und behoben. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Anforderung 05: Schutz aller Systeme und Netzwerke vor Schadsoftware | 5.2.1 | Schadsoftware (Malware) wird verhindert, erkannt und behoben. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| Anforderung 05: Schutz aller Systeme und Netzwerke vor Schadsoftware | 5.2.2 | Schadsoftware (Malware) wird verhindert, erkannt und behoben. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Anforderung 05: Schutz aller Systeme und Netzwerke vor Schadsoftware | 5.2.2 | Schadsoftware (Malware) wird verhindert, erkannt und behoben. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| Anforderung 05: Schutz aller Systeme und Netzwerke vor Schadsoftware | 5.2.3 | Schadsoftware (Malware) wird verhindert, erkannt und behoben. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Anforderung 05: Schutz aller Systeme und Netzwerke vor Schadsoftware | 5.2.3 | Schadsoftware (Malware) wird verhindert, erkannt und behoben. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| Anforderung 06: Entwicklung und Wartung sicherer Systeme und Software | 6.3.3 | Sicherheitsrisiken werden identifiziert und behoben. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Anforderung 06: Entwicklung und Wartung sicherer Systeme und Software | 6.3.3 | Sicherheitsrisiken werden identifiziert und behoben. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| Anforderung 06: Entwicklung und Wartung sicherer Systeme und Software | 6.4.1 | Öffentlich zugängliche Webanwendungen sind vor Angriffen geschützt. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Anforderung 06: Entwicklung und Wartung sicherer Systeme und Software | 6.4.1 | Öffentlich zugängliche Webanwendungen sind vor Angriffen geschützt. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| Anforderung 08: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten | 8.3.6 | Starke Authentifizierung für Benutzer und Administratoren wird eingerichtet und verwaltet. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| Anforderung 08: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten | 8.3.6 | Starke Authentifizierung für Benutzer und Administratoren wird eingerichtet und verwaltet. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| Anforderung 08: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten | 8.3.6 | Starke Authentifizierung für Benutzer und Administratoren wird eingerichtet und verwaltet. | Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | 2.1.0 |
| Anforderung 08: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten | 8.3.6 | Starke Authentifizierung für Benutzer und Administratoren wird eingerichtet und verwaltet. | Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | 2.1.0 |
| Anforderung 08: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten | 8.3.6 | Starke Authentifizierung für Benutzer und Administratoren wird eingerichtet und verwaltet. | Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | 2.1.0 |
| Anforderung 08: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten | 8.3.6 | Starke Authentifizierung für Benutzer und Administratoren wird eingerichtet und verwaltet. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
Reserve Bank of India – IT-Framework für NBFC (Nichtbanken-Finanzgesellschaft)
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – Reserve Bank of India – IT-Framework für NBFC (Nichtbanken-Finanzgesellschaft). Weitere Informationen zu diesem Compliancestandard finden Sie unter Reserve Bank of India – IT Framework für NBFC (Nichtbanken-Finanzgesellschaft).
Reserve Bank of India – IT-Framework für Banken v2016
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – RBI ITF Banks v2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter RBI ITF Banks v2016 (PDF).
RMIT Malaysia
Um zu überprüfen, wie die verfügbaren Azure-Richtlinienintegrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, lesen Sie Azure Policy Regulatory Compliance – RMIT Malaysia. Weitere Informationen zu diesem Compliancestandard finden Sie unter RMIT Malaysia.
Spanien ENS
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Vorschriften für die spanische ENS von Azure Policy. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CCN-STIC 884.
SWIFT CSP-CSCF v2021
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Azure-Richtliniendetails zur Einhaltung gesetzlicher Bestimmungen für SWIFT CSP-CSCF v2021. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen für SWIFT CSP-CSCF v2022 mit Azure Policy. Weitere Informationen zu diesem Compliancestandard finden Sie unter SWIFT CSP CSCF v2022.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.1 | Stellen Sie sicher, dass die lokale SWIFT-Infrastruktur der Benutzer*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.1 | Stellen Sie sicher, dass die lokale SWIFT-Infrastruktur der Benutzer*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.1 | Stellen Sie sicher, dass die lokale SWIFT-Infrastruktur der Benutzer*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.1 | Stellen Sie sicher, dass die lokale SWIFT-Infrastruktur der Benutzer*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.1 | Stellen Sie sicher, dass die lokale SWIFT-Infrastruktur der Benutzer*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.2 | Beschränken und steuern Sie die Zuordnung und Verwendung von Konten des Betriebssystems auf Administratorebene. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.3 | Sichern Sie die Virtualisierungsplattform und VMs, auf denen SWIFT-bezogene Komponenten gehostet werden, auf derselben Ebene wie physische Systeme. | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.4 | Steuern/schützen Sie den Internetzugriff von Operator-PCs und -Systemen innerhalb der sicheren Zone. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.4 | Steuern/schützen Sie den Internetzugriff von Operator-PCs und -Systemen innerhalb der sicheren Zone. | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.5A | Stellen Sie sicher, dass die Verbindungsinfrastruktur der Kund*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.5A | Stellen Sie sicher, dass die Verbindungsinfrastruktur der Kund*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.5A | Stellen Sie sicher, dass die Verbindungsinfrastruktur der Kund*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.5A | Stellen Sie sicher, dass die Verbindungsinfrastruktur der Kund*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| 1. Internetzugriff einschränken und kritische Systeme vor der allgemeinen IT-Umgebung schützen | 1.5A | Stellen Sie sicher, dass die Verbindungsinfrastruktur der Kund*innen vor potenziell kompromittierten Komponenten der allgemeinen IT-Umgebung und der externen Umgebung geschützt ist. | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.1 | Stellen Sie die Vertraulichkeit, Integrität und Authentizität von Anwendungsdatenflüssen zwischen lokalen SWIFT-bezogenen Komponenten sicher. | Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | 3.2.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.1 | Stellen Sie die Vertraulichkeit, Integrität und Authentizität von Anwendungsdatenflüssen zwischen lokalen SWIFT-bezogenen Komponenten sicher. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.2 | Minimieren Sie das Auftreten bekannter technischer Sicherheitsrisiken auf Operator-PCs und innerhalb der lokalen SWIFT-Infrastruktur, indem Sie den Support des Anbieters sicherstellen und obligatorische Softwareupdates und rechtzeitige Sicherheitsupdates anwenden, die auf das bewertete Risiko angepasst sind. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.2 | Minimieren Sie das Auftreten bekannter technischer Sicherheitsrisiken auf Operator-PCs und innerhalb der lokalen SWIFT-Infrastruktur, indem Sie den Support des Anbieters sicherstellen und obligatorische Softwareupdates und rechtzeitige Sicherheitsupdates anwenden, die auf das bewertete Risiko angepasst sind. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.2 | Minimieren Sie das Auftreten bekannter technischer Sicherheitsrisiken auf Operator-PCs und innerhalb der lokalen SWIFT-Infrastruktur, indem Sie den Support des Anbieters sicherstellen und obligatorische Softwareupdates und rechtzeitige Sicherheitsupdates anwenden, die auf das bewertete Risiko angepasst sind. | Windows-VMs mit ausstehendem Neustart überwachen | 2.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.2 | Minimieren Sie das Auftreten bekannter technischer Sicherheitsrisiken auf Operator-PCs und innerhalb der lokalen SWIFT-Infrastruktur, indem Sie den Support des Anbieters sicherstellen und obligatorische Softwareupdates und rechtzeitige Sicherheitsupdates anwenden, die auf das bewertete Risiko angepasst sind. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.3 | Verringern Sie die Angriffsfläche für Cyberangriffe von SWIFT-bezogenen Komponenten, indem Sie eine Systemhärtung durchführen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.3 | Verringern Sie die Angriffsfläche für Cyberangriffe von SWIFT-bezogenen Komponenten, indem Sie eine Systemhärtung durchführen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.3 | Verringern Sie die Angriffsfläche für Cyberangriffe von SWIFT-bezogenen Komponenten, indem Sie eine Systemhärtung durchführen. | Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | 3.1.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.3 | Verringern Sie die Angriffsfläche für Cyberangriffe von SWIFT-bezogenen Komponenten, indem Sie eine Systemhärtung durchführen. | Windows-Computer überwachen, auf denen Zertifikate innerhalb der angegebenen Anzahl von Tagen ablaufen | 2.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.3 | Verringern Sie die Angriffsfläche für Cyberangriffe von SWIFT-bezogenen Komponenten, indem Sie eine Systemhärtung durchführen. | Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | 2.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.3 | Verringern Sie die Angriffsfläche für Cyberangriffe von SWIFT-bezogenen Komponenten, indem Sie eine Systemhärtung durchführen. | Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | 3.1.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.3 | Verringern Sie die Angriffsfläche für Cyberangriffe von SWIFT-bezogenen Komponenten, indem Sie eine Systemhärtung durchführen. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.3 | Verringern Sie die Angriffsfläche für Cyberangriffe von SWIFT-bezogenen Komponenten, indem Sie eine Systemhärtung durchführen. | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.4A | Sicherheit des Back-Office-Datenflusses | Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | 3.2.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.4A | Sicherheit des Back-Office-Datenflusses | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.5A | Datenschutz für externe Übertragung | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.5A | Datenschutz für externe Übertragung | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.5A | Datenschutz für externe Übertragung | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.6 | Schützen Sie die Vertraulichkeit und Integrität interaktiver Operatorsitzungen, die eine Verbindung mit der lokalen oder Remote-SWIFT-Infrastruktur (von einem Dienstanbieter betrieben) oder SWIFT-bezogenen Anwendungen des Dienstanbieters herstellen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.6 | Schützen Sie die Vertraulichkeit und Integrität interaktiver Operatorsitzungen, die eine Verbindung mit der lokalen oder Remote-SWIFT-Infrastruktur (von einem Dienstanbieter betrieben) oder SWIFT-bezogenen Anwendungen des Dienstanbieters herstellen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.6 | Schützen Sie die Vertraulichkeit und Integrität interaktiver Operatorsitzungen, die eine Verbindung mit der lokalen oder Remote-SWIFT-Infrastruktur (von einem Dienstanbieter betrieben) oder SWIFT-bezogenen Anwendungen des Dienstanbieters herstellen. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.6 | Schützen Sie die Vertraulichkeit und Integrität interaktiver Operatorsitzungen, die eine Verbindung mit der lokalen oder Remote-SWIFT-Infrastruktur (von einem Dienstanbieter betrieben) oder SWIFT-bezogenen Anwendungen des Dienstanbieters herstellen. | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.6 | Schützen Sie die Vertraulichkeit und Integrität interaktiver Operatorsitzungen, die eine Verbindung mit der lokalen oder Remote-SWIFT-Infrastruktur (von einem Dienstanbieter betrieben) oder SWIFT-bezogenen Anwendungen des Dienstanbieters herstellen. | Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Interaktive Anmeldung“ erfüllen | 3.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.7 | Identifizieren Sie bekannte Sicherheitsrisiken in der lokalen SWIFT-Umgebung, indem Sie einen regulären Überprüfungsprozess für Sicherheitsrisiken implementieren und auf Ergebnisse reagieren. | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| 2. Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.7 | Identifizieren Sie bekannte Sicherheitsrisiken in der lokalen SWIFT-Umgebung, indem Sie einen regulären Überprüfungsprozess für Sicherheitsrisiken implementieren und auf Ergebnisse reagieren. | Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | 3.1.0 |
| 3. Physische Sicherheit der Umgebung | 3.1 | Verhindern Sie den nicht autorisierten physischen Zugriff auf sensible Geräte, Arbeitsplatzumgebungen, Hosting-Websites und Speicher. | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | 3.1.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | 3.1.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | 2.1.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | 2.1.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | 2.1.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | 2.0.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | 2.1.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | 3.1.0 |
| 4. Verhindern der Kompromittierung von Anmeldeinformationen | 4,1 | Stellen Sie sicher, dass Kennwörter ausreichend widerstandsfähig gegen häufige Kennwortangriffe sind, indem Sie eine effektive Kennwortrichtlinie implementieren und erzwingen. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| 5. Verwalten von Identitäten und Trennen von Berechtigungen | 5.1 | Erzwingen Sie die Sicherheitsprinzipien des erforderlichen Zugriffs, der geringsten Rechte und der Aufgabentrennung für Operatorkonten. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| 5. Verwalten von Identitäten und Trennen von Berechtigungen | 5.1 | Erzwingen Sie die Sicherheitsprinzipien des erforderlichen Zugriffs, der geringsten Rechte und der Aufgabentrennung für Operatorkonten. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| 5. Verwalten von Identitäten und Trennen von Berechtigungen | 5.1 | Erzwingen Sie die Sicherheitsprinzipien des erforderlichen Zugriffs, der geringsten Rechte und der Aufgabentrennung für Operatorkonten. | Windows-Computer überwachen, auf denen Zertifikate innerhalb der angegebenen Anzahl von Tagen ablaufen | 2.0.0 |
| 5. Verwalten von Identitäten und Trennen von Berechtigungen | 5.1 | Erzwingen Sie die Sicherheitsprinzipien des erforderlichen Zugriffs, der geringsten Rechte und der Aufgabentrennung für Operatorkonten. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| 5. Verwalten von Identitäten und Trennen von Berechtigungen | 5,2 | Stellen Sie die ordnungsgemäße Verwaltung, Nachverfolgung und Verwendung verbundener und getrennter Hardwareauthentifizierungstoken oder persönlicher Token sicher (wenn Token verwendet werden). | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| 5. Verwalten von Identitäten und Trennen von Berechtigungen | 5.4 | Schützen Sie das Repository aufgezeichneter Kennwörter physisch und logisch. | Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | 2.0.0 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.1 | Stellen Sie sicher, dass die lokale SWIFT-Infrastruktur vor Schadsoftware geschützt ist, und reagieren Sie auf Ergebnisse. | Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | 1.0.0 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.1 | Stellen Sie sicher, dass die lokale SWIFT-Infrastruktur vor Schadsoftware geschützt ist, und reagieren Sie auf Ergebnisse. | Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden | 1.1.0 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | [Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | 2.0.1-preview |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | 4.1.0 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | 4.1.0 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | 1.0.0 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | 1.2.0 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein. | 2.0.1 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | Die Log Analytics-Erweiterung sollte auf Virtual Machine Scale Sets installiert sein. | 1.0.1 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Zeichnen Sie sicherheitsrelevante Ereignisse auf, und erkennen Sie anomale Aktionen und Vorgänge innerhalb der lokalen SWIFT-Umgebung. | Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein. | 1.0.1 |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.5A | Erkennen Sie anomale Netzwerkaktivitäten in der lokalen oder Remote-SWIFT-Umgebung, und dämmen Sie sie innerhalb der Umgebung ein. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | 1.0.2-preview |
| 6. Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.5A | Erkennen Sie anomale Netzwerkaktivitäten in der lokalen oder Remote-SWIFT-Umgebung, und dämmen Sie sie innerhalb der Umgebung ein. | [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | 1.0.2-preview |
System- und Organisationssteuerelemente (SOC) 2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2 (System and Organization Controls)“. Weitere Informationen zu diesem Compliancestandard finden Sie unter SOC 2 (System and Organization Controls, System- und Organisationskontrollen).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zusätzliche Kriterien für die Verfügbarkeit | A1.2 | Schutz der Umgebung, Software, Datensicherungsprozesse und Wiederherstellungsinfrastruktur | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
| Risikobewertung | CC3.2 | COSO-Prinzip 7 | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | 3.2.0 |
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | 3.2.0 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| Logische und physische Zugriffssteuerung | CC6.7 | Beschränken des Informationsverkehrs auf autorisierte Benutzer | Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.7 | Beschränken des Informationsverkehrs auf autorisierte Benutzer | Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.7 | Beschränken des Informationsverkehrs auf autorisierte Benutzer | Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.7 | Beschränken des Informationsverkehrs auf autorisierte Benutzer | Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.7 | Beschränken des Informationsverkehrs auf autorisierte Benutzer | Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | 3.0.0 |
| Logische und physische Zugriffssteuerung | CC6.7 | Beschränken des Informationsverkehrs auf autorisierte Benutzer | Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | 4.1.1 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | [Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | 6.0.0-preview |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | [Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 5.1.0-preview |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | [Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein | 4.0.0-preview |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | [Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 3.1.0-preview |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | [Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein | 4.0.0-preview |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | [Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | 2.0.0-preview |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein | 1.0.3 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Es dürfen nur genehmigte VM-Erweiterungen installiert werden | 1.0.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.0.0 |
| Systemvorgänge | CC7.1 | Erkennung und Überwachung neuer Sicherheitsrisiken | Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | 3.0.0 |
| Systemvorgänge | CC7.2 | Überwachen von Systemkomponenten auf ungewöhnliches Verhalten | Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | 2.0.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | [Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | 6.0.0-preview |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | [Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 5.1.0-preview |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | [Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein | 4.0.0-preview |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | [Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | 3.1.0-preview |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | [Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein | 4.0.0-preview |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | [Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | 2.0.0-preview |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | 1.0.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein | 1.0.3 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.2.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Es dürfen nur genehmigte VM-Erweiterungen installiert werden | 1.0.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | 1.0.1 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | 2.0.0 |
| Zusätzliche Kriterien für die Verarbeitungsintegrität | PI1.5 | Eingaben und Ausgaben vollständig, genau und rechtzeitig speichern | Azure Backup muss für Virtual Machines aktiviert sein. | 3.0.0 |
UK OFFICIAL und UK NHS
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: UK OFFICIAL and UK NHS. Weitere Informationen zu diesem Compliancestandard finden Sie unter UK OFFICIAL.
Nächste Schritte
- Weitere Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.