Azure-Sicherheitsbaseline für Batch

Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Batch an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Batch definiert sind.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features , die nicht für Batch gelten, wurden ausgeschlossen. Informationen zur vollständigen Zuordnung von Batch zum Microsoft-Cloudsicherheitstest finden Sie in der vollständigen Batch-Sicherheitsbaselinezuordnungsdatei.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten von Batch mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Compute
Der Kunde kann auf HOST/Betriebssystem zugreifen Nur Leseberechtigung
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. True
Speichert ruhende Kundeninhalte False

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Features

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Stellen Sie Azure Batch Pools innerhalb eines virtuellen Netzwerks bereit. Erwägen Sie die Bereitstellung des Pools ohne öffentliche IP-Adressen, um den Zugriff auf Knoten im privaten Netzwerk einzuschränken und die Auffindbarkeit der Knoten aus dem Internet zu verringern.

Referenz: Erstellen eines Azure Batch-Pools in einem virtuellen Netzwerk

Unterstützung von Netzwerksicherheitsgruppen

Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Standardmäßig fügt Batch Netzwerksicherheitsgruppen (NSGs) auf der Netzwerkschnittstellenebene hinzu, die an Computeknoten angefügt sind.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Erstellen eines Azure Batch-Pools in einem virtuellen Netzwerk

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

Features

Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Stellen Sie private Endpunkte für Azure Batch Konten bereit. Dadurch wird der Zugriff auf die Batch-Konten auf das virtuelle Netzwerk, in dem sie sich befinden, oder auf ein beliebiges virtuelles Peernetzwerk beschränkt.

Referenz: Verwenden privater Endpunkte mit Azure Batch Konten

Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke auf Batch-Konten, indem Sie die Einstellung "Öffentlicher Netzwerkzugriff" auf deaktiviert festlegen.

Referenz: Deaktivieren des Öffentlichen Netzwerkzugriffs

Identitätsverwaltung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Features

Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Ihre Datenebene zu steuern, anstatt freigegebene Schlüssel zu verwenden.

Referenz: Authentifizieren mit Azure AD

Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene

Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.

Konfigurationsleitfaden: Schränken Sie die Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf Datenebene ein. Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.

Referenz: Authentifizierung über gemeinsam genutzten Schlüssel

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Features

Verwaltete Identitäten

Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Shared

Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory-Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Referenz: Konfigurieren von verwalteten Identitäten in Batch-Pools

Dienstprinzipale

Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Zusätzliche Anleitung: Zum Authentifizieren einer unbeaufsichtigt ausgeführten Anwendung können Sie einen Dienstprinzipal verwenden. Nachdem Sie Ihre Anwendung registriert haben, nehmen Sie im Azure-Portal die entsprechenden Konfigurationen für den Dienstprinzipal vor, z. B. anfordern eines Geheimnisses für die Anwendung und Zuweisen von Azure RBAC-Rollen.

Referenz: Authentifizieren von Batch-Dienstlösungen mit Azure Active Directory

IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen

Features

Bedingter Zugriff für Datenebene

Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Features

Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse

Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für den Speicher von Anmeldeinformationen und Geheimnissen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Privilegierter Zugriff

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Features

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), um den Azure-Ressourcenzugriff über integrierte Rollenzuweisungen zu verwalten. Azure Batch unterstützt Azure RBAC für die Verwaltung des Zugriffs auf diese Ressourcentypen: Konten, Aufträge, Aufgaben und Pools.

Referenz: Zuweisen von Azure RBAC zu Ihrer Anwendung

Schutz von Daten

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

Features

Verhinderung von Datenlecks/Verlusten

Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Features

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Features

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Einige der in Batch-APIs angegebenen Informationen, z. B. Kontozertifikate, Auftrags- und Aufgabenmetadaten und Aufgabenbefehlszeilen, werden automatisch verschlüsselt, wenn sie vom Batch-Dienst gespeichert werden. Diese Daten werden standardmäßig mit Schlüsseln verschlüsselt, die von der Azure Batch-Plattform verwaltet werden und für jedes Batch-Konto eindeutig sind.

Sie können diese Daten auch mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln. Die Schlüssel werden in Azure Key Vault generiert und gespeichert, und die Schlüsselbezeichner werden bei Ihrem Batch-Konto registriert.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf

Features

Verschlüsselung ruhender Daten mithilfe von CMK

Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.

Referenz: Konfigurieren von kundenseitig verwalteten Schlüsseln

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

Features

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Shared

Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine wichtige Einstellung oder Kompromittierung vorliegt. Wenn kundenseitig verwalteter Schlüssel (Customer-Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst bringen müssen (z. B. den Import HSM-geschützter Schlüssel von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.

Hinweis: Der Kunde muss sich für die Verwendung von kundenseitig verwalteten Schlüsseln entscheiden, andernfalls verwendet der Dienst standardmäßig Plattformschlüssel, die von Microsoft verwaltet werden.

Referenz: Konfigurieren von kundenseitig verwalteten Schlüsseln für Ihr Azure Batch-Konto mit Azure Key Vault und verwalteter Identität

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Features

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Shared

Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und den Azure-Dienst (sofern unterstützt) basierend auf einem definierten Zeitplan oder bei einem Zertifikatablauf ein. Wenn die automatische Drehung in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mithilfe manueller Methoden in Azure Key Vault und der Anwendung rotiert werden.

Referenz: Verwenden von Zertifikaten und sicherer Zugriff auf Azure Key Vault mit Batch

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Features

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [bereitstellen, wenn nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.

Für alle Szenarien, in denen keine integrierten Richtliniendefinitionen vorhanden sind, können Sie Azure Policy Aliase im Namespace "Microsoft.Batch" verwenden, um benutzerdefinierte Richtlinien zu erstellen.

Referenz: Azure Policy integrierten Definitionen für Azure Batch

AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs

Features

Microsoft Defender für Cloud – Adaptive Anwendungssteuerung

Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer ausgeführt werden, indem adaptive Anwendungssteuerungen in Microsoft Defender für Cloud verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Features

Microsoft Defender for Service / Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Features

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Aktivieren Sie Azure-Ressourcenprotokolle für Azure Batch für die folgenden Protokolltypen: ServiceLog und AllMetrics.

Referenz: Batchmetriken, Warnungen und Protokolle für die Diagnoseauswertung und -überwachung

Status- und Sicherheitsrisikoverwaltung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Haltungs- und Sicherheitsrisikoverwaltung.

PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen

Features

Azure Automation State Configuration

Beschreibung: Azure Automation State Configuration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Azure Policy Gastkonfigurations-Agent

Beschreibung: Azure Policy Gastkonfigurations-Agent kann als Erweiterung für Computeressourcen installiert oder bereitgestellt werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Benutzerdefinierte VM-Images

Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten VM-Images oder vordefinierte Images aus dem Marketplace mit bestimmten vorab angewendeten Baselinekonfigurationen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Shared

Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Lieferanten wie Microsoft, oder erstellen Sie eine gewünschte Baseline für sichere Konfigurationen in der VM-Imagevorlage.

Kunden können auch benutzerdefinierte Betriebssystemimages für Azure Batch verwenden. Wenn Sie die Konfiguration des virtuellen Computers für Ihre Azure Batch verwenden, stellen Sie sicher, dass benutzerdefinierte Images den Anforderungen Ihres organization angepasst sind. Für die Lebenszyklusverwaltung speichern die Pools die Images in einem Katalog mit freigegebenen Images. Sie können einen sicheren Imageerstellungsprozess mithilfe von Azure-Automatisierungstools wie Azure Image Builder einrichten.

Referenz: Verwenden eines verwalteten Images zum Erstellen eines benutzerdefinierten Imagepools

Images für benutzerdefinierte Container

Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten Containerimages oder vordefinierte Images aus dem Marketplace mit bestimmten vorab angewendeten Baselinekonfigurationen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Shared

Konfigurationsleitfaden: Wenn Sie den Batch-Pool zum Ausführen von Aufgaben in Docker-kompatiblen Containern auf den Knoten verwenden, verwenden Sie vorkonfigurierte gehärtete Containerimages eines vertrauenswürdigen Lieferanten wie Microsoft, oder erstellen Sie die gewünschte Sichere Konfigurationsbaseline in der Containerimagevorlage.

Referenz: Ausführen von Containeranwendungen auf Azure Batch

PV-5: Durchführen von Sicherheitsrisikobewertungen

Features

Sicherheitsrisikobewertung mithilfe von Microsoft Defender

Beschreibung: Der Dienst kann mit Microsoft Defender für Cloud oder anderen Microsoft Defender Services eingebetteten Sicherheitsrisikobewertungsfunktionen (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS) auf Sicherheitsrisiken überprüft werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken

Features

Azure Automation-Updateverwaltung

Beschreibung: Der Dienst kann Azure Automation Updateverwaltung verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Endpunktsicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Endpunktsicherheit.

ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)

Features

EDR-Lösung

Beschreibung: Die EDR-Funktion (Endpoint Detection and Response), z. B. Azure Defender für Server, kann im Endpunkt bereitgestellt werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

ES-2: Verwenden moderner Antischadsoftware

Features

Anti-Malware-Lösung

Beschreibung: Anti-Malware-Funktion wie Microsoft Defender Antivirus, Microsoft Defender for Endpoint auf dem Endpunkt bereitgestellt werden können. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen

Features

Integritätsüberwachung der Antischadsoftwarelösung

Beschreibung: Die Antischadsoftwarelösung bietet Integritäts- status Überwachung für Plattform-, Engine- und automatische Signaturupdates. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Sicherung und Wiederherstellung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Features

Azure Backup

Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Dienstnative Sicherungsfunktion

Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (wenn er nicht Azure Backup verwendet). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Nächste Schritte