Azure-Sicherheitsbaseline für VM-Skalierungsgruppen
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Virtual Machine Scale Sets an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Virtual Machine Scale Sets definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features, die nicht für Virtual Machine Scale Sets gelten, wurden ausgeschlossen. Um zu sehen, wie Virtual Machine Scale Sets vollständig dem Microsoft-Cloudsicherheitsvergleichstest zugeordnet ist, sehen Sie sich die vollständige Zuordnungsdatei Virtual Machine Scale Sets Sicherheitsbaseline an.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten mit hohen Auswirkungen von Virtual Machine Scale Sets zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Compute |
| Der Kunde kann auf HOST/Betriebssystem zugreifen | Vollzugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Speichert ruhende Kundeninhalte | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Virtuelle Netzwerke und virtuelle Computer in Azure
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
Wenn Sie einen virtuellen Azure-Computer (VM) erstellen, müssen Sie ein virtuelles Netzwerk erstellen oder ein vorhandenes virtuelles Netzwerk verwenden und die VM mit einem Subnetz konfigurieren. Stellen Sie sicher, dass auf alle bereitgestellten Subnetze eine Netzwerksicherheitsgruppe mit Netzwerkzugriffssteuerungen angewendet wurde, die für die vertrauenswürdigen Ports und Quellen der Anwendung spezifisch sind.
Referenz: Netzwerksicherheitsgruppen
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. | Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Dienste, die mit dem Betriebssystem installiert sind, können verwendet werden, um Netzwerkfilterung für deaktivierten öffentlichen Netzwerkzugriff bereitzustellen.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Datenebene zu steuern. Azure AD schützt Daten durch eine starke Verschlüsselung für ruhende und übertragene Daten. Außerdem werden in Azure AD Salts und Hashs verwendet, und Anmeldeinformationen werden sicher gespeichert. Mithilfe verwalteter Identitäten können Sie die Authentifizierung bei jedem Dienst durchführen, der die Azure AD-Authentifizierung unterstützt, einschließlich Key Vault. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein. Der auf einem virtuellen Computer ausgeführte Code kann dessen verwaltete Identität zum Anfordern von Zugriffstoken für Dienste verwenden, die die Azure AD-Authentifizierung unterstützen.
Referenz: Azure AD-Joinimplementierung
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Referenz: Verwaltete Identitäten für Azure-Ressourcen
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Dienstprinzipale können von Anwendungen verwendet werden, die in Virtual Machine Scale Sets ausgeführt werden.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Innerhalb der Datenebene oder des Betriebssystems rufen Dienste möglicherweise Azure Key Vault für Anmeldeinformationen oder Geheimnisse auf.
Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Funktionen
Lokale Admin Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Erstellen von virtuellen Computern in einer Skalierungsgruppe mit Azure-Portal
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), um den Azure-Ressourcenzugriff über integrierte Rollenzuweisungen zu verwalten. Azure RBAC-Rollen können Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zugewiesen werden.
Referenz: Integrierte Rolle für Mitwirkender virtueller Computer
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kundensperrbox zum Überprüfen und genehmigen oder ablehnen Sie dann alle Datenzugriffsanforderungen von Microsoft.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/-verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (im Inhalt des Kunden) zu überwachen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Datenverschlüsselung während der Übertragung für die Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Bestimmte Kommunikationsprotokolle wie SSH sind standardmäßig verschlüsselt. Dienste wie RDP oder HTTP müssen jedoch so konfiguriert werden, dass TLS für die Verschlüsselung verwendet wird.
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen ein systemeigenes Datenfeature in der Transitverschlüsselung integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Legacyversionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung von Virtual Machines ssh (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Referenz: Während der Übertragung verschlüsselung auf virtuellen Computern
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Windows-Computer sollten für die Verwendung sicherer Kommunikationsprotokolle konfiguriert werden | Um die Privatsphäre der über das Internet übermittelten Informationen zu schützen, sollten Ihre Computer die neueste Version des kryptografischen Protokolls transport Layer Security (TLS) des Branchenstandards verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen verwalteten Microsoft-Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Zusätzlich zur Standardverschlüsselung mit plattformseitig verwalteten Schlüsseln können hochsicherheitsempfindliche Kunden, die sich um das Risiko eines bestimmten Verschlüsselungsalgorithmus, einer implementierung oder eines bestimmten Verschlüsselungsschlüssels sorgen, die kompromittiert werden, jetzt für eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus bzw. -modus auf der Infrastrukturebene unter Verwendung von plattformverwalteten Verschlüsselungsschlüsseln und kundenseitig verwalteten Schlüsseln entscheiden. Diese neue Ebene kann auf Datenträger für persistente Betriebssysteme und für Daten, Momentaufnahmen und Images angewendet werden, um sie im Ruhezustand mit doppelter Verschlüsselung zu verschlüsseln.
Weitere Informationen finden Sie unter Doppelte Verschlüsselung ruhender Daten.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Azure Disk Encryption für Virtual Machine Scale Sets
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden auch bei der Übertragung zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Einen Vergleich der Verschlüsselungsangebote finden Sie unter https://aka.ms/diskencryptioncomparison. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0-preview |
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
Virtuelle Datenträger auf Virtual Machines (VM) werden im Ruhezustand entweder mithilfe der serverseitigen Verschlüsselung oder der Azure-Datenträgerverschlüsselung (Azure Disk Encryption, ADE) verschlüsselt. Azure Disk Encryption nutzt das DM-Crypt-Feature von Linux, um verwaltete Datenträger auf dem virtuellen Gastcomputer mit kundenseitig verwalteten Schlüsseln zu verschlüsseln. Die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln bewirkt eine ADE-Verbesserung, indem Sie beliebige Betriebssystemtypen und Images für Ihre VMs verwenden können, indem Daten im Speicherdienst verschlüsselt werden.
Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Vom Kunden verwaltete Schlüssel ermöglichen eine höhere Flexibilität bei der Verwaltung von Zugriffssteuerungen. Sie müssen entweder Azure Key Vault oder azure Key Vault Managed Hardware Security Module (HSM) verwenden, um Ihre kundenseitig verwalteten Schlüssel zu speichern.
Sie können entweder ihre RSA-Schlüssel in den Schlüsseltresor importieren oder neue RSA-Schlüssel in Azure Key Vault generieren. Die Verschlüsselung und Entschlüsselung von verwalteten Azure-Datenträgern erfolgt durch Umschlagverschlüsselung vollständig transparent. Daten werden mithilfe eines AES-256 basierten Datenverschlüsselungsschlüssels (DEK) verschlüsselt, der wiederum mit Ihren Schlüsseln geschützt wird. Der Speicherdienst generiert Datenverschlüsselungsschlüssel und verschlüsselt sie mit vom Kunden verwalteten Schlüsseln unter Verwendung der RSA-Verschlüsselung. Mithilfe der Umschlagverschlüsselung können Sie Ihre Schlüssel gemäß Ihren Kompatibilitätsrichtlinien regelmäßig rotieren (ändern), ohne Ihre VMs zu beeinträchtigen. Wenn Sie Ihre Schlüssel rotieren, verschlüsselt der Speicherdienst die Datenverschlüsselungsschlüssel mit den neuen, vom Kunden verwalteten Schlüsseln neu.
Managed Disks und die Key Vault-Instanz oder der verwaltete HSM müssen sich in der gleichen Region befinden, können aber zu verschiedenen Abonnements gehören. Sie müssen sich auch im selben Azure Active Directory-Mandanten (Azure AD) befinden, es sei denn, Sie verschlüsseln verwaltete Datenträger mit mandantenübergreifenden kundenseitig verwalteten Schlüsseln.
Referenz: Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine wichtige Einstellung oder Kompromittierung vorliegt. Wenn kundenseitig verwalteter Schlüssel (Customer-Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst bringen müssen (z. B. den Import HSM-geschützter Schlüssel von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
Referenz: Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Funktionen
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Azure Policy können verwendet werden, um das gewünschte Verhalten für die Windows-VMs und Linux-VMs Ihrer organization zu definieren. Mithilfe von Richtlinien kann ein organization verschiedene Konventionen und Regeln im gesamten Unternehmen erzwingen und Standardsicherheitskonfigurationen für Azure Virtual Machine Scale Sets definieren und implementieren. Die Durchsetzung des gewünschten Verhaltens hilft dabei, Risiken zu mindern, und trägt gleichzeitig zum Erfolg des Unternehmens bei.
Referenz: Integrierte Azure Policy Definitionen für Virtual Machine Scale Sets
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs
Funktionen
Microsoft Defender für Cloud – Adaptive Anwendungssteuerung
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer ausgeführt werden, indem adaptive Anwendungssteuerungen in Microsoft Defender für Cloud verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für adaptive Cloudanwendungssteuerelemente, um Anwendungen zu ermitteln, die auf virtuellen Computern (VMs) ausgeführt werden, und generieren Sie eine Zulassungsliste für Anwendungen, die festlegen, welche genehmigten Anwendungen in der VM-Umgebung ausgeführt werden können.
Referenz: Verwenden von adaptiven Anwendungssteuerelementen zum Verringern der Angriffsflächen Ihrer Computer
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Defender für Server erweitert den Schutz auf Ihre Windows- und Linux-Computer, die in Azure ausgeführt werden. Defender für Server ist in Microsoft Defender for Endpoint integriert, um Endpunkterkennung und -reaktion (EDR) bereitzustellen, und bietet außerdem eine Vielzahl zusätzlicher Features zum Schutz vor Bedrohungen, z. B. Sicherheitsbaselines und Bewertungen auf Betriebssystemebene, Überprüfung der Sicherheitsrisikobewertung, adaptive Anwendungssteuerungen (Adaptive Application Controls, AAC), Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) und vieles mehr.
Referenz: Übersicht über Microsoft Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Azure Monitor beginnt automatisch mit der Erfassung von Metrikdaten für Ihren VM-Host, wenn Sie die VM erstellen. Um Protokolle und Leistungsdaten des Gastbetriebssystem des virtuellen Computers zu sammeln, müssen Sie jedoch den Azure Monitor-Agent installieren. Sie können den Agent installieren und die Sammlung entweder mithilfe von VM Insights oder durch Erstellen einer Datensammlungsregel konfigurieren.
Referenz: Übersicht über den Log Analytics-Agent
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Funktionen
Azure Automation State Configuration
Beschreibung: Azure Automation State Configuration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Automation State Configuration, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Azure Automation State Configuration ist ein Azure-Konfigurationsverwaltungsdienst, mit dem Sie PowerShell-Desired State Configuration-Konfigurationen (DSC) für Knoten schreiben, verwalten und kompilieren können.
Azure Automation State Configuration bietet verschiedene Vorteile gegenüber der Verwendung von DSC außerhalb von Azure. Mit diesem Dienst können Sie Skalierbarkeit über Tausende von Computern schnell und einfach von einem zentralen, sicheren Ort aus erreichen. Sie können problemlos Computer aktivieren, ihnen deklarative Konfigurationen zuweisen und Berichte dazu anzeigen, inwieweit jeder Computer mit dem gewünschten Zustand, den Sie angegeben haben, kompatibel ist.
Referenz: Verwenden von Virtual Machine Scale Sets mit der Azure DSC-Erweiterung
Azure Policy Gastkonfigurations-Agent
Beschreibung: Azure Policy Gastkonfigurations-Agent kann installiert oder als Erweiterung für Computeressourcen bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud und Azure Policy Gastkonfigurations-Agent, um Konfigurationsabweichungen auf Ihren virtuellen Computern regelmäßig zu bewerten und zu beheben.
Referenz: Grundlegendes zum Gastkonfigurationsfeature von Azure Policy
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von benutzerseitig bereitgestellten VM-Images oder vorgefertigten Images aus dem Marketplace, wobei bestimmte Baselinekonfigurationen bereits angewendet wurden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Anbieters wie Microsoft, oder erstellen Sie eine gewünschte sichere Konfigurationsbaseline in die VM-Imagevorlage.
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
Funktionen
Virtueller Computer mit vertrauenswürdigem Start
Beschreibung: Trusted Launch schützt vor erweiterten und persistenten Angriffstechniken, indem Infrastrukturtechnologien wie sicherer Start, vTPM und Integritätsüberwachung kombiniert werden. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen. Der vertrauenswürdige Start ermöglicht die sichere Bereitstellung von virtuellen Computern mit überprüften Startloadern, Betriebssystemkernen und Treibern und schützt Schlüssel, Zertifikate und Geheimnisse auf den virtuellen Computern sicher. Der vertrauenswürdige Start bietet auch Einblicke und Vertrauen in die Integrität der gesamten Startkette und stellt sicher, dass Workloads vertrauenswürdig und überprüfbar sind. Der vertrauenswürdige Start ist in Microsoft Defender für Cloud integriert, um sicherzustellen, dass VMs ordnungsgemäß konfiguriert sind, indem sichergestellt wird, dass der virtuelle Computer ordnungsgemäß gestartet wird. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweis: Der vertrauenswürdige Start ist für VMs der 2. Generation verfügbar. Der vertrauenswürdige Start erfordert die Erstellung neuer VMs. Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.
Konfigurationsleitfaden: Der vertrauenswürdige Start kann während der Bereitstellung des virtuellen Computers aktiviert sein. Aktivieren Sie alle drei Bereiche: Sicherer Start, vTPM und Integritätsstartüberwachung, um den besten Sicherheitsstatus für den virtuellen Computer zu gewährleisten. Beachten Sie, dass es einige Voraussetzungen gibt, darunter das Onboarding Ihres Abonnements für Microsoft Defender für Cloud, das Zuweisen bestimmter Azure Policy Initiativen und das Konfigurieren von Firewallrichtlinien.
Referenz: Bereitstellen eines virtuellen Computers mit aktiviertem vertrauenswürdigem Start
PV-5: Durchführen von Sicherheitsrisikobewertungen
Funktionen
Sicherheitsrisikobewertung mithilfe von Microsoft Defender
Beschreibung: Der Dienst kann mit Microsoft Defender für Cloud oder anderen Microsoft Defender Services eingebetteten Sicherheitsrisikobewertungsfunktionen (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS) auf Sicherheitsrisiken überprüft werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Befolgen Sie die Empfehlungen von Microsoft Defender für Cloud, um Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern durchzuführen.
Referenz: Übersicht über Microsoft Defender für Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken
Funktionen
Azure Automation-Updateverwaltung
Beschreibung: Der Dienst kann Azure Automation Updateverwaltung verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Microsoft bietet weitere Funktionen, mit denen Sie Updates für Ihre Azure-VMs oder Azure-VM-Skalierungsgruppen verwalten können, die Sie als Teil Ihrer allgemeinen Updateverwaltungsstrategie berücksichtigen sollten.
Wenn Sie Ihre Azure-VMs automatisch bewerten und aktualisieren möchten, um die Sicherheitskonformität mit den monatlichen kritischen Updates und Sicherheitsupdates zu gewährleisten, lesen Sie Automatische VM-Gastpatches. Hierbei handelt es sich um eine alternative Updateverwaltungslösung für Ihre Azure-VMs, damit diese außerhalb der Spitzenzeiten automatisch aktualisiert werden können. Auch VMs innerhalb einer Verfügbarkeitsgruppe, deren Updatebereitstellungen normalerweise manuell über die Updateverwaltung in Azure Automation verwaltet werden müssen, können so automatisch aktualisiert werden.
Wenn Sie Azure-VM-Skalierungsgruppen verwalten, informieren Sie sich darüber, wie Sie automatische Upgrades für Betriebssystemimages durchführen, um den Betriebssystemdatenträger für alle Instanzen der Skalierungsgruppe sicher und automatisch zu aktualisieren.
Weitere Informationen finden Sie unter Automatische Upgrades von Betriebssystemimages in Azure Virtual Machine Scale Set.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Azure Guest Patching Service
Beschreibung: Der Dienst kann Azure-Gastpatches verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Dienste können die verschiedenen Updatemechanismen wie automatische Betriebssystemimageupgrades und automatische Gastpatches nutzen. Die Funktionen werden empfohlen, um die neuesten Sicherheits- und kritischen Updates auf das Gastbetriebssystem Ihres virtuellen Computers anzuwenden, indem Sie die Grundsätze für sichere Bereitstellung befolgen.
Mit automatischem Gastpatching können Sie Ihre virtuellen Azure-Computer automatisch bewerten und aktualisieren, um die Sicherheitskonformität mit den monatlich veröffentlichten kritischen Updates und Sicherheitsupdates zu gewährleisten. Updates werden außerhalb der Spitzenzeiten angewendet, einschließlich VMs innerhalb einer Verfügbarkeitsgruppe. Diese Funktion ist für die flexible Orchestrierung von VMSS verfügbar, mit zukünftiger Unterstützung für die Roadmap für Uniform Orchestration.
Wenn Sie eine zustandslose Workload ausführen, sind automatische Betriebssystemimageupgrades ideal, um das neueste Update für Ihre VMSS Uniform anzuwenden. Mit der Rollbackfunktion sind diese Updates mit Marketplace- oder benutzerdefinierten Images kompatibel. Zukünftige rollierende Upgradeunterstützung für die Roadmap für flexible Orchestrierung.
Referenz: Automatisches VM-Gastpatching für Azure-VMs
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Disabled | 1.0.0-preview |
Endpunktsicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Endpunktsicherheit.
ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
Funktionen
EDR-Lösung
Beschreibung: Die EDR-Funktion (Endpoint Detection and Response), z. B. Azure Defender für Server, kann im Endpunkt bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Azure Defender für Server (mit integriertem Microsoft Defender for Endpoint) bietet EDR-Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Bedrohungen. Verwenden Sie Microsoft Defender für Cloud, um Azure Defender für Server für Ihren Endpunkt bereitzustellen und die Warnungen in Ihre SIEM-Lösung, z. B. Azure Sentinel, zu integrieren.
Referenz: Integrierte Lizenz für Microsoft Defender for Endpoint
ES-2: Verwenden moderner Antischadsoftware
Funktionen
Anti-Malware-Lösung
Beschreibung: Anti-Malware-Funktion wie Microsoft Defender Antivirus, Microsoft Defender for Endpoint auf dem Endpunkt bereitgestellt werden können. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Für Windows Server 2016 und höher ist Microsoft Defender für Antivirus standardmäßig installiert. Für Windows Server 2012 R2 und höher können Kunden SCEP (System Center Endpoint Protection) installieren. Für Linux haben Kunden die Wahl, Microsoft Defender für Linux zu installieren. Alternativ haben Kunden auch die Wahl, Anti-Malware-Produkte von Drittanbietern zu installieren.
Referenz: Microsoft Antimalware für Azure Cloud Services und Virtual Machines
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen
Funktionen
Integritätsüberwachung der Antischadsoftwarelösung
Beschreibung: Die Antischadsoftwarelösung bietet Integritäts- status Überwachung für Plattform-, Engine- und automatische Signaturupdates. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Konfigurieren Sie Ihre Antischadsoftwarelösung, um sicherzustellen, dass Plattform, Engine und Signaturen schnell und konsistent aktualisiert werden und ihre status überwacht werden können.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherung und Wiederherstellung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Unterstützt für VMSS Flex und nicht für VMSS Uniform
Konfigurationsleitfaden: Aktivieren Sie Azure Backup und Azure Virtual Machines (VM) sowie die gewünschte Häufigkeit und Aufbewahrungszeiträume. Dies umfasst eine vollständige Sicherung des Systemzustands. Wenn Sie Azure Disk Encryption verwenden, werden bei der Azure-VM-Sicherung automatisch auch kundenseitig verwaltete Schlüssel gesichert. Für Azure Virtual Machines können Sie Azure Policy verwenden, um automatische Sicherungen zu aktivieren.
Referenz: Verwenden einer Momentaufnahme einer VM-Skalierungsgruppe instance und verwaltetem Datenträger
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Compute:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Nächste Schritte
- Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark –Übersicht.
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.