Kontrollen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Azure SQL-Datenbank und SQL Managed Instance
Gilt für: 
Azure SQL Database Azure SQL Managed Instance
Die Einhaltung gesetzlicher Bestimmungen in Azure Policy bietet von Microsoft erstellte und verwaltete Initiativdefinitionen, die als integriert bezeichnet werden, für die Compliancedomänen und Sicherheitskontrollen, die mit unterschiedlichen Compliancestandards zusammenhängen. Auf dieser Seite werden die Compliancedomänen und Sicherheitskontrollen für Azure SQL-Datenbank und SQL Managed Instance aufgeführt. Sie können die integrierten Elemente für eine Sicherheitskontrolle einzeln zuweisen, um Ihre Azure-Ressourcen mit dem jeweiligen Standard kompatibel zu machen.
Die Titel der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Richtlinienversion, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Wichtig
Jeder Kontrollmechanismus ist mindestens einer Azure Policy-Definition zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich konform in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Kontrollelementen und gesetzlichen Konformitätsdefinitionen von Azure Policy für diese Konformitätsstandards können sich im Laufe der Zeit ändern.
ISM PROTECTED der australischen Regierung
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: Durch ISM der australischen Regierung GESCHÜTZT. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Durch ISM der australischen Regierung GESCHÜTZT.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Richtlinien für die Systemverwaltung: Systempatching | 940 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 940 | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 940 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 940 | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Richtlinien für die Systemverwaltung: Systempatching | 940 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 940 | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1144 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1144 | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1144 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1144 | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Richtlinien für die Systemverwaltung: Systempatching | 1144 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1144 | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Richtlinien für Datenbanksysteme: Software für Datenbankverwaltungssystem | 1260 | Datenbankadministratorkonten : 1260 | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Richtlinien für Datenbanksysteme: Software für Datenbankverwaltungssystem | 1261 | Datenbankadministratorkonten : 1261 | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Richtlinien für Datenbanksysteme: Software für Datenbankverwaltungssystem | 1262 | Datenbankadministratorkonten : 1262 | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Richtlinien für Datenbanksysteme: Software für Datenbankverwaltungssystem | 1263 | Datenbankadministratorkonten : 1263 | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Richtlinien für Datenbanksysteme: Software für Datenbankverwaltungssystem | 1264 | Datenbankadministratorkonten : 1264 | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Richtlinien für Datenbanksysteme: Datenbankserver | 1425 | Schützen von Datenbankserverinhalten: 1425 | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1472 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1472 | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1472 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1472 | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Richtlinien für die Systemverwaltung: Systempatching | 1472 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1472 | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1494 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1494 | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1494 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1494 | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Richtlinien für die Systemverwaltung: Systempatching | 1494 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1494 | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1495 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1495 | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1495 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1495 | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Richtlinien für die Systemverwaltung: Systempatching | 1495 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1495 | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1496 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1496 | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Richtlinien für die Systemverwaltung: Systempatching | 1496 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1496 | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Richtlinien für die Systemverwaltung: Systempatching | 1496 | Zeitpunkt zum Patchen von Sicherheitsrisiken: 1496 | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Richtlinien für die Systemüberwachung: Ereignisprotokollierung und -überwachung | 1537 | Zu protokollierende Ereignisse: 1537 | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Richtlinien für die Systemüberwachung: Ereignisprotokollierung und -überwachung | 1537 | Zu protokollierende Ereignisse: 1537 | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
Canada Federal PBMM
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: Canada Federal PBMM. Weitere Informationen zu diesem Compliancestandard finden Sie unter Canada Federal PBMM.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC-2(7) | Kontoverwaltung | Rollenbasierte Schemas | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Überwachung und Verantwortlichkeit | AU-5 | Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Überwachung und Verantwortlichkeit | AU-5 | Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Überwachung und Verantwortlichkeit | AU-5 | Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Überwachung und Verantwortlichkeit | AU-12 | Generierung von Überwachungsdatensätzen | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Überwachung und Verantwortlichkeit | AU-12 | Generierung von Überwachungsdatensätzen | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Überwachung und Verantwortlichkeit | AU-12 | Generierung von Überwachungsdatensätzen | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Risikobewertung | RA-5 | Überprüfung auf Sicherheitsrisiken | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Risikobewertung | RA-5 | Überprüfung auf Sicherheitsrisiken | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Risikobewertung | RA-5 | Überprüfung auf Sicherheitsrisiken | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| System- und Kommunikationsschutz | SC-28 | Schutz von ruhenden Informationen | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| System- und Kommunikationsschutz | SC-28 | Schutz von ruhenden Informationen | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| System- und Kommunikationsschutz | SC-28 | Schutz von ruhenden Informationen | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| System- und Informationsintegrität | SI-2 | Fehlerbehebung | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| System- und Informationsintegrität | SI-4 | Überwachung des Informationssystems | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| System- und Informationsintegrität | SI-4 | Überwachung des Informationssystems | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
CIS Microsoft Azure Foundations Benchmark
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Build-Ins für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.14 | Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „SQL-Überwachung überwachen“ nicht deaktiviert ist | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| 2 Security Center | 2.15 | Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „SQL-Verschlüsselung überwachen“ nicht deaktiviert ist | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| 4 Datenbankdienste | 4,1 | Sicherstellen, dass „Überwachung“ auf „Ein“ festgelegt ist | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| 4 Datenbankdienste | 4.10 | Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit BYOK (also unter Verwendung eines eigenen Schlüssels) verschlüsselt ist | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| 4 Datenbankdienste | 4.10 | Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit BYOK (also unter Verwendung eines eigenen Schlüssels) verschlüsselt ist | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
| 4 Datenbankdienste | 4,2 | Sicherstellen, dass „AuditActionGroups“ in der Überwachungsrichtlinie für eine SQL Server-Instanz ordnungsgemäß festgelegt ist | Für SQL-Überwachungseinstellungen müssen Aktionsgruppen zum Erfassen kritischer Aktivitäten konfiguriert sein | 1.0.0 |
| 4 Datenbankdienste | 4.3 | Sicherstellen, dass die Aufbewahrungsdauer für die Überwachung auf über 90 Tage festgelegt ist | Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | 3.0.0 |
| 4 Datenbankdienste | 4.4 | Sicherstellen, dass „Advanced Data Security“ für eine SQL Server-Instanz auf „Ein“ festgelegt ist | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| 4 Datenbankdienste | 4.4 | Sicherstellen, dass „Advanced Data Security“ für eine SQL Server-Instanz auf „Ein“ festgelegt ist | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| 4 Datenbankdienste | 4.8 | Sicherstellen, dass der Azure Active Directory-Administrator konfiguriert ist | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| 4 Datenbankdienste | 4,9 | Sicherstellen, dass „Datenverschlüsselung“ für eine SQL-Datenbank auf „Ein“ festgelegt ist | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 4 Datenbankdienste | 4.1.1 | Sicherstellen, dass „Überwachung“ auf „Ein“ festgelegt ist | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| 4 Datenbankdienste | 4.1.2 | Sicherstellen, dass „Datenverschlüsselung“ für eine SQL-Datenbank auf „Ein“ festgelegt ist | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| 4 Datenbankdienste | 4.1.3 | Sicherstellen, dass die Aufbewahrungsdauer für die Überwachung auf über 90 Tage festgelegt ist | Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | 3.0.0 |
| 4 Datenbankdienste | 4.2.1 | Sicherstellen, dass Advanced Threat Detection (ATP) für eine SQL Server-Instanz auf „Aktiviert“ festgelegt ist | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| 4 Datenbankdienste | 4.2.1 | Sicherstellen, dass Advanced Threat Detection (ATP) für eine SQL Server-Instanz auf „Aktiviert“ festgelegt ist | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| 4 Datenbankdienste | 4.2.2 | Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| 4 Datenbankdienste | 4.2.2 | Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| 4 Datenbankdienste | 4.4 | Sicherstellen, dass der Azure Active Directory-Administrator konfiguriert ist | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| 4 Datenbankdienste | 4.5 | Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| 4 Datenbankdienste | 4.5 | Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.4.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 4 Datenbankdienste | 4.1.1 | Sicherstellen, dass „Überwachung“ auf „Ein“ festgelegt ist | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| 4 Datenbankdienste | 4.1.2 | Sicherstellen, dass „Datenverschlüsselung“ für eine SQL-Datenbank auf „Ein“ festgelegt ist | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| 4 Datenbankdienste | 4.1.3 | Sicherstellen, dass die Aufbewahrungsdauer für die Überwachung auf über 90 Tage festgelegt ist | Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | 3.0.0 |
| 4 Datenbankdienste | 4.2.1 | Sicherstellen, dass Advanced Threat Detection (ATP) für eine SQL Server-Instanz auf „Aktiviert“ festgelegt ist | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| 4 Datenbankdienste | 4.2.1 | Sicherstellen, dass Advanced Threat Detection (ATP) für eine SQL Server-Instanz auf „Aktiviert“ festgelegt ist | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| 4 Datenbankdienste | 4.2.2 | Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| 4 Datenbankdienste | 4.2.2 | Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| 4 Datenbankdienste | 4.5 | Sicherstellen, dass der Azure Active Directory-Administrator konfiguriert ist | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| 4 Datenbankdienste | 4.6 | Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| 4 Datenbankdienste | 4.6 | Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Um sich darüber zu informieren, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, lesen Sie Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 2.0.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 4,1 | 4.1.1 | Sicherstellen, dass „Überwachung“ auf „Ein“ festgelegt ist | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| 4,1 | 4.1.2 | Sicherstellen, dass Azure SQL-Datenbank-Instanzen keinen eingehenden Datenverkehr von 0.0.0.0/0 (beliebige IP-Adresse) zulassen | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| 4,1 | 4.1.3 | Sicherstellen, dass die TDE-Schutzvorrichtung (Transparent Data Encryption) von SQL Server mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| 4,1 | 4.1.3 | Sicherstellen, dass die TDE-Schutzvorrichtung (Transparent Data Encryption) von SQL Server mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
| 4,1 | 4.1.4 | Sicherstellen, dass Azure Active Directory Administrator für SQL Server konfiguriert ist | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| 4,1 | 4.1.5 | Sicherstellen, dass „Datenverschlüsselung“ für eine SQL-Datenbank auf „Ein“ festgelegt ist | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| 4,1 | 4.1.6 | Sicherstellen, dass die Aufbewahrungsdauer für die Überwachung auf über 90 Tage festgelegt ist | Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | 3.0.0 |
| 4,2 | 4.2.1 | Sicherstellen, dass Microsoft Defender for SQL für kritische SQL Server-Instanzen auf „Ein“ festgelegt ist | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| 4,2 | 4.2.1 | Sicherstellen, dass Microsoft Defender for SQL für kritische SQL Server-Instanzen auf „Ein“ festgelegt ist | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| 4,2 | 4.2.2 | Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| 4,2 | 4.2.2 | Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| 4,2 | 4.2.3 | Sicherstellen, dass die Einstellung „Regelmäßig wiederkehrende Überprüfungen“ der Sicherheitsrisikobewertung für jede SQL Server-Instanz auf „Ein“ festgelegt ist | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| 4,2 | 4.2.4 | Sicherstellen, dass die Einstellung „Überprüfungsberichte senden an“ der Sicherheitsrisikobewertung für eine SQL Server-Instanz konfiguriert ist | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| 4,2 | 4.2.5 | Sicherstellen, dass die Einstellung „E-Mail-Benachrichtigungen auch an Administratoren und Abonnementbesitzer senden“ der Sicherheitsrisikobewertung für jede SQL Server-Instanz festgelegt ist | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| 4,2 | 4.2.5 | Sicherstellen, dass die Einstellung „E-Mail-Benachrichtigungen auch an Administratoren und Abonnementbesitzer senden“ der Sicherheitsrisikobewertung für jede SQL Server-Instanz festgelegt ist | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
CMMC Level 3
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CMMC Level 3. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Cybersecurity Maturity Model Certification (CMMC).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| Zugriffssteuerung | AC.2.016 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| Überwachung und Verantwortlichkeit | AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Überwachung und Verantwortlichkeit | AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Überwachung und Verantwortlichkeit | AU.2.041 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Überwachung und Verantwortlichkeit | AU.2.042 | Führen Sie die Erstellung und Aufbewahrung von Systemüberwachungsprotokollen und -datensätzen in dem Maße durch, dass die Überwachung, Analyse, Untersuchung und Meldung von rechtwidrigen oder nicht autorisierten Systemaktivitäten möglich ist. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Überwachung und Verantwortlichkeit | AU.2.042 | Führen Sie die Erstellung und Aufbewahrung von Systemüberwachungsprotokollen und -datensätzen in dem Maße durch, dass die Überwachung, Analyse, Untersuchung und Meldung von rechtwidrigen oder nicht autorisierten Systemaktivitäten möglich ist. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Überwachung und Verantwortlichkeit | AU.2.042 | Führen Sie die Erstellung und Aufbewahrung von Systemüberwachungsprotokollen und -datensätzen in dem Maße durch, dass die Überwachung, Analyse, Untersuchung und Meldung von rechtwidrigen oder nicht autorisierten Systemaktivitäten möglich ist. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Überwachung und Verantwortlichkeit | AU.3.046 | Warnung bei Auftreten eines Fehlers während des Überwachungsprotokollprozesses. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Überwachung und Verantwortlichkeit | AU.3.046 | Warnung bei Auftreten eines Fehlers während des Überwachungsprotokollprozesses. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Überwachung und Verantwortlichkeit | AU.3.046 | Warnung bei Auftreten eines Fehlers während des Überwachungsprotokollprozesses. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Sicherheitsbewertung | CA.2.158 | Bewerten Sie in regelmäßigen Abständen die Sicherheitskontrollen in den Organisationssystemen, um festzustellen, ob die Kontrollen in ihrer Anwendung wirksam sind. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Sicherheitsbewertung | CA.2.158 | Bewerten Sie in regelmäßigen Abständen die Sicherheitskontrollen in den Organisationssystemen, um festzustellen, ob die Kontrollen in ihrer Anwendung wirksam sind. | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Sicherheitsbewertung | CA.2.158 | Bewerten Sie in regelmäßigen Abständen die Sicherheitskontrollen in den Organisationssystemen, um festzustellen, ob die Kontrollen in ihrer Anwendung wirksam sind. | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Sicherheitsbewertung | CA.3.161 | Überwachen Sie Sicherheitskontrollen fortlaufend, um die kontinuierliche Effektivität der Kontrollen sicherzustellen. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Sicherheitsbewertung | CA.3.161 | Überwachen Sie Sicherheitskontrollen fortlaufend, um die kontinuierliche Effektivität der Kontrollen sicherzustellen. | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Sicherheitsbewertung | CA.3.161 | Überwachen Sie Sicherheitskontrollen fortlaufend, um die kontinuierliche Effektivität der Kontrollen sicherzustellen. | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Konfigurationsverwaltung | CM.2.064 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Konfigurationsverwaltung | CM.2.064 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Konfigurationsverwaltung | CM.3.068 | Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| Wiederherstellung | RE.2.137 | Führen Sie regelmäßig Datensicherungen durch, und testen Sie sie. | Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | 2.0.0 |
| Wiederherstellung | RE.3.139 | Führen Sie regelmäßig vollständige, umfassende und resiliente Datensicherungen gemäß den Vorgaben der Organisation durch. | Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | 2.0.0 |
| Risikobewertung | RM.2.141 | Bewerten Sie in regelmäßigen Abständen das Risiko für Organisationsvorgänge (einschließlich Mission, Funktionen, Image oder Ruf), Organisationsressourcen und Einzelpersonen, die sich aus dem Betrieb der Organisationssysteme und der zugeordneten Verarbeitung, Speicherung oder Übertragung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) ergeben. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Risikobewertung | RM.2.141 | Bewerten Sie in regelmäßigen Abständen das Risiko für Organisationsvorgänge (einschließlich Mission, Funktionen, Image oder Ruf), Organisationsressourcen und Einzelpersonen, die sich aus dem Betrieb der Organisationssysteme und der zugeordneten Verarbeitung, Speicherung oder Übertragung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) ergeben. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Risikobewertung | RM.2.141 | Bewerten Sie in regelmäßigen Abständen das Risiko für Organisationsvorgänge (einschließlich Mission, Funktionen, Image oder Ruf), Organisationsressourcen und Einzelpersonen, die sich aus dem Betrieb der Organisationssysteme und der zugeordneten Verarbeitung, Speicherung oder Übertragung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) ergeben. | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Risikobewertung | RM.2.141 | Bewerten Sie in regelmäßigen Abständen das Risiko für Organisationsvorgänge (einschließlich Mission, Funktionen, Image oder Ruf), Organisationsressourcen und Einzelpersonen, die sich aus dem Betrieb der Organisationssysteme und der zugeordneten Verarbeitung, Speicherung oder Übertragung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) ergeben. | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Risikobewertung | RM.2.142 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Risikobewertung | RM.2.142 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Risikobewertung | RM.2.142 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Risikobewertung | RM.2.142 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| System- und Kommunikationsschutz | SC.3.177 | Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| System- und Kommunikationsschutz | SC.3.177 | Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
| System- und Kommunikationsschutz | SC.3.177 | Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| System- und Kommunikationsschutz | SC.3.181 | Trennen Sie die Benutzerfunktionen von den Systemverwaltungsfunktionen. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| System- und Kommunikationsschutz | SC.3.191 | Schützen Sie die Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) im ruhenden Zustand. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| System- und Kommunikationsschutz | SC.3.191 | Schützen Sie die Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) im ruhenden Zustand. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| System- und Kommunikationsschutz | SC.3.191 | Schützen Sie die Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) im ruhenden Zustand. | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| System- und Informationsintegrität | SI.1.210 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Informationsfehlern und Informationssystemfehlern. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| System- und Informationsintegrität | SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des ein- und ausgehenden Kommunikationsdatenverkehrs, um Angriffe und Anzeichen für potenzielle Angriffe zu erkennen. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| System- und Informationsintegrität | SI.2.216 | Überwachen Sie die Unternehmenssysteme, einschließlich des ein- und ausgehenden Kommunikationsdatenverkehrs, um Angriffe und Anzeichen für potenzielle Angriffe zu erkennen. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| System- und Informationsintegrität | SI.2.217 | Identifizieren Sie die nicht autorisierte Verwendung von Organisationssystemen. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| System- und Informationsintegrität | SI.2.217 | Identifizieren Sie die nicht autorisierte Verwendung von Organisationssystemen. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
FedRAMP High
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.
FedRAMP Moderate
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.
HIPAA HITRUST 9.2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: HIPAA HITRUST 9.2. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter HIPAA HITRUST 9.2.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 03 Sicherheit von Wechselmedien | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 Medienverarbeitung | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| 03 Sicherheit von Wechselmedien | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 Medienverarbeitung | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| 03 Sicherheit von Wechselmedien | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 Medienverarbeitung | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
| 07 Verwaltung von Sicherheitsrisiken | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| 07 Verwaltung von Sicherheitsrisiken | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| 07 Verwaltung von Sicherheitsrisiken | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| 07 Verwaltung von Sicherheitsrisiken | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| 07 Verwaltung von Sicherheitsrisiken | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| 07 Verwaltung von Sicherheitsrisiken | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 Verwaltung technischer Sicherheitsrisiken | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| 08 Netzwerkschutz | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Netzwerkzugriffssteuerung | SQL Server sollte einen VNET-Dienstendpunkt verwenden | 1.0.0 |
| 08 Netzwerkschutz | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Netzwerkzugriffssteuerung | SQL Server sollte einen VNET-Dienstendpunkt verwenden | 1.0.0 |
| 08 Netzwerkschutz | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 Netzwerksicherheitsverwaltung | SQL Server sollte einen VNET-Dienstendpunkt verwenden | 1.0.0 |
| 08 Netzwerkschutz | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Netzwerkzugriffssteuerung | SQL Server sollte einen VNET-Dienstendpunkt verwenden | 1.0.0 |
| 12 Überwachungsprotokollierung und Überwachung | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Überwachung | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| 16 Geschäftskontinuität und Notfallwiederherstellung | 1616.09l1Organizational.16-09.l | 1616.09l1Organizational.16-09.l 09.05 Informationssicherung | Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | 2.0.0 |
| 16 Geschäftskontinuität und Notfallwiederherstellung | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 Informationssicherung | Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | 2.0.0 |
IRS 1075, September 2016
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: IRS 1075 September 2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter IRS 1075, September 2016.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | 9.3.1.2 | Kontoverwaltung (AC-2) | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Risikobewertung | 9.3.14.3 | Überprüfung auf Sicherheitsrisiken (RA-5) | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Risikobewertung | 9.3.14.3 | Überprüfung auf Sicherheitsrisiken (RA-5) | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Risikobewertung | 9.3.14.3 | Überprüfung auf Sicherheitsrisiken (RA-5) | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| System- und Kommunikationsschutz | 9.3.16.15 | Schutz von ruhenden Informationen (SC-28) | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| System- und Kommunikationsschutz | 9.3.16.15 | Schutz von ruhenden Informationen (SC-28) | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| System- und Kommunikationsschutz | 9.3.16.15 | Schutz von ruhenden Informationen (SC-28) | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| System- und Informationsintegrität | 9.3.17.2 | Fehlerbehebung (SI-2) | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| System- und Informationsintegrität | 9.3.17.4 | Überwachung des Informationssystems (SI-4) | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| System- und Informationsintegrität | 9.3.17.4 | Überwachung des Informationssystems (SI-4) | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Bewusstsein und Training | 9.3.3.11 | Generierung von Überwachungsdatensätzen (AU-12) | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Bewusstsein und Training | 9.3.3.11 | Generierung von Überwachungsdatensätzen (AU-12) | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Bewusstsein und Training | 9.3.3.11 | Generierung von Überwachungsdatensätzen (AU-12) | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Bewusstsein und Training | 9.3.3.5 | Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen (AU-5) | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Bewusstsein und Training | 9.3.3.5 | Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen (AU-5) | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Bewusstsein und Training | 9.3.3.5 | Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen (AU-5) | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
ISO 27001:2013
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: ISO 27001:2013. Weitere Informationen zu diesem Compliancestandard finden Sie unter ISO 27001:2013.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Kryptografie | 10.1.1 | Richtlinie zur Verwendung von kryptografischen Steuerungen | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| Betriebssicherheit | 12.4.1 | Ereignisprotokollierung | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Betriebssicherheit | 12.4.3 | Administrator- und Bedienerprotokolle | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Betriebssicherheit | 12.4.4 | Uhrsynchronisierung | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Betriebssicherheit | 12.6.1 | Verwaltung von technischen Sicherheitsrisiken | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Ressourcenverwaltung | 8.2.1 | Klassifizierung von Informationen | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Zugriffssteuerung | 9.2.3 | Verwaltung von Rechten für den privilegierten Zugriff | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
Grundwerte für vertrauliche Richtlinien für Microsoft Cloud for Sovereignty
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Grundwerte für vertrauliche Richtlinien für MCfS. Weitere Informationen zu diesem Compliancestandard finden Sie im Microsoft Cloud for Sovereignty-Vertragsbestand.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| SO.3: Kundenseitig verwaltete Schlüssel | SO.3 | Azure-Produkte müssen so konfiguriert werden, dass wenn möglich kundenseitig verwaltete Schlüssel verwendet werden. | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| SO.3: Kundenseitig verwaltete Schlüssel | SO.3 | Azure-Produkte müssen so konfiguriert werden, dass wenn möglich kundenseitig verwaltete Schlüssel verwendet werden. | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
Microsoft Cloud Security Benchmark
Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die vollständige Zuordnung dieses Diensts zum Microsoft-Cloudsicherheitsbenchmark finden Sie in den Zuordnungsdateien zum Azure Security Benchmark.
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Azure Policy-Einhaltung gesetzlicher Vorschriften – Microsoft-Cloudsicherheitsbenchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren | 1.0.0 |
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| Identitätsverwaltung | IM-1 | Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Identitätsverwaltung | IM-1 | Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Für Azure SQL-Datenbank darf nur die Microsoft Entra-Authentifizierung aktiviert sein | 1.0.0 |
| Identitätsverwaltung | IM-1 | Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Für Azure SQL-Datenbank muss die Microsoft Entra-only-Authentifizierung aktiviert sein | 1.2.0 |
| Identitätsverwaltung | IM-1 | Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Für Azure SQL Managed Instance darf nur die Microsoft Entra-Authentifizierung aktiviert sein | 1.0.0 |
| Identitätsverwaltung | IM-1 | Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Für Azure SQL Managed Instance muss die Microsoft Entra-only-Authentifizierung aktiviert sein | 1.2.0 |
| Identitätsverwaltung | IM-4 | Authentifizieren von Servern und Diensten | Die Azure SQL-Datenbank muss TLS-Version 1.2 oder höher verwenden. | 2.0.0 |
| Datenschutz | DP-2 | Überwachen von Anomalien und Bedrohungen, die auf vertrauliche Daten abzielen | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Datenschutz | DP-3 | Verschlüsseln vertraulicher Daten während der Übertragung | Die Azure SQL-Datenbank muss TLS-Version 1.2 oder höher verwenden. | 2.0.0 |
| Datenschutz | DP-4 | Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| Datenschutz | DP-5 | Verwenden der Option „Kundenseitig verwalteter Schlüssel“ bei der Verschlüsselung ruhender Daten bei Bedarf | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| Datenschutz | DP-5 | Verwenden der Option „Kundenseitig verwalteter Schlüssel“ bei der Verschlüsselung ruhender Daten bei Bedarf | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
| Protokollierung und Bedrohungserkennung | LT-1 | Aktivieren von Bedrohungserkennungsfunktionen | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Protokollierung und Bedrohungserkennung | LT-1 | Aktivieren von Bedrohungserkennungsfunktionen | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Protokollierung und Bedrohungserkennung | LT-2 | Aktivieren von Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Protokollierung und Bedrohungserkennung | LT-2 | Aktivieren von Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Protokollierung und Bedrohungserkennung | LT-3 | Aktivieren der Protokollierung für die Sicherheitsuntersuchung | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Protokollierung und Bedrohungserkennung | LT-6 | Konfigurieren der Aufbewahrungsdauer von Protokollen im Speicher | Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | 3.0.0 |
| Reaktion auf Vorfälle | IR-3 | Erkennung und Analyse – Erstellen von Incidents basierend auf Warnungen mit hoher Qualität | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Reaktion auf Vorfälle | IR-3 | Erkennung und Analyse – Erstellen von Incidents basierend auf Warnungen mit hoher Qualität | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Status- und Sicherheitsrisikoverwaltung | PV-5 | Durchführen von Sicherheitsrisikobewertungen | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-5 | Durchführen von Sicherheitsrisikobewertungen | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-6 | Schnelles und automatisches Beheben von Sicherheitsrisiken | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Reaktion auf Vorfälle | AIR-5 | Erkennung und Analyse – Priorisieren von Vorfällen | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Reaktion auf Vorfälle | AIR-5 | Erkennung und Analyse – Priorisieren von Vorfällen | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
NIST SP 800-171 R2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| Zugriffssteuerung | 3.1.12 | Überwachen und Steuern von Remotezugriffssitzungen | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| Zugriffssteuerung | 3.1.13 | Implementieren Sie Kryptografiemechanismen zum Schutz der Vertraulichkeit von Remotezugriffssitzungen. | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| Zugriffssteuerung | 3.1.14 | Leiten Sie Remotezugriff über verwaltete Zugriffssteuerungspunkte. | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| Zugriffssteuerung | 3.1.2 | Beschränken Sie den Systemzugriff auf die Arten von Transaktionen und Funktionen, die von autorisierten Benutzer*innen ausgeführt werden dürfen. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| Risikobewertung | 3.11.2 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Risikobewertung | 3.11.2 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Risikobewertung | 3.11.2 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Risikobewertung | 3.11.2 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Risikobewertung | 3.11.2 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Risikobewertung | 3.11.3 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Risikobewertung | 3.11.3 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Risikobewertung | 3.11.3 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Risikobewertung | 3.11.3 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Risikobewertung | 3.11.3 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| System- und Kommunikationsschutz | 3.13.10 | Sie können Kryptografieschlüssel für die Kryptografie einrichten und verwalten, die in den Organisationssystemen eingesetzt wird. | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| System- und Kommunikationsschutz | 3.13.10 | Sie können Kryptografieschlüssel für die Kryptografie einrichten und verwalten, die in den Organisationssystemen eingesetzt wird. | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.16 | Schützen Sie die Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) im ruhenden Zustand. | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| System- und Informationsintegrität | 3.14.1 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Systemfehlern. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| System- und Informationsintegrität | 3.14.6 | Überwachen Sie die Unternehmenssysteme, einschließlich des ein- und ausgehenden Kommunikationsdatenverkehrs, um Angriffe und Anzeichen für potenzielle Angriffe zu erkennen. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| System- und Informationsintegrität | 3.14.6 | Überwachen Sie die Unternehmenssysteme, einschließlich des ein- und ausgehenden Kommunikationsdatenverkehrs, um Angriffe und Anzeichen für potenzielle Angriffe zu erkennen. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| System- und Informationsintegrität | 3.14.7 | Identifizieren Sie die nicht autorisierte Verwendung von Organisationssystemen. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| System- und Informationsintegrität | 3.14.7 | Identifizieren Sie die nicht autorisierte Verwendung von Organisationssystemen. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Überwachung und Verantwortlichkeit | 3.3.1 | Erstellen und Aufbewahren von Systemüberwachungsprotokollen und -datensätzen in dem Umfang, der erforderlich ist, um die Überwachung, Analyse, Untersuchung und Meldung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen | Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | 3.0.0 |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Überwachung und Verantwortlichkeit | 3.3.2 | Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zurückverfolgt werden können, damit diese für ihre Aktionen zur Verantwortung gezogen werden können. | Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | 3.0.0 |
| Überwachung und Verantwortlichkeit | 3.3.4 | Warnung bei Auftreten eines Fehlers während des Überwachungsprotokollprozesses. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.4 | Warnung bei Auftreten eines Fehlers während des Überwachungsprotokollprozesses. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Überwachung und Verantwortlichkeit | 3.3.5 | Korrelieren Sie Überprüfungs-, Analyse- und Berichterstellungsprozesse für Überwachungsdatensätze zur Untersuchung von und Reaktion auf unrechtmäßige, nicht autorisierte, verdächtige oder ungewöhnliche Systemaktivitäten. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| Überwachung und Verantwortlichkeit | 3.3.5 | Korrelieren Sie Überprüfungs-, Analyse- und Berichterstellungsprozesse für Überwachungsdatensätze zur Untersuchung von und Reaktion auf unrechtmäßige, nicht autorisierte, verdächtige oder ungewöhnliche Systemaktivitäten. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| Identifizierung und Authentifizierung | 3.5.1 | Identifizieren Sie Systembenutzer, Prozesse, die im Namen von Benutzern agieren, und Geräte. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Identifizierung und Authentifizierung | 3.5.2 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Unternehmenssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten von Benutzern, Prozessen oder Geräten durch. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Identifizierung und Authentifizierung | 3.5.5 | Verhindern Sie die Wiederverwendung von Bezeichnern für einen definierten Zeitraum. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Identifizierung und Authentifizierung | 3.5.6 | Deaktivieren Sie Bezeichner nach einem definiertem Zeitraum der Inaktivität. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
NIST SP 800-53 Rev. 4
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.
NL BIO-Clouddesign
Wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliance-Standard entsprechen, können Sie unter Azure Policy – Gesetzliche Bestimmungen – Details für PCI-DSS v4.0 nachlesen. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| C.04.3 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.3 | Wenn sowohl die Wahrscheinlichkeit eines Missbrauchs als auch der erwartete Schaden hoch sind, werden Patches spätestens innerhalb einer Woche installiert. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| C.04.6 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.6 | Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| C.04.8 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.8 | Die Auswertungsberichte enthalten Verbesserungsvorschläge und werden mit Managern/Besitzern kommuniziert. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| U.05.1 Datenschutz – Kryptografische Maßnahmen | U.05.1 | Der Datentransport wird mithilfe von Kryptografie gesichert, wobei die Schlüsselverwaltung, wenn möglich, von der CSC selbst durchgeführt wird. | Die Azure SQL-Datenbank muss TLS-Version 1.2 oder höher verwenden. | 2.0.0 |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| U.05.2 Datenschutz - Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
| U.05.2 Datenschutz – kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| U.07.1 Datentrennung - Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren | 1.0.0 |
| U.07.1 Datentrennung – Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| U.07.1 Datentrennung - Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| U.07.3 Datentrennung – Verwaltungsfunktionen | U.07.3 | U.07.3: Die Berechtigungen zum Anzeigen oder Ändern von CSC-Daten und/oder -Verschlüsselungsschlüsseln werden kontrolliert erteilt, und die Verwendung protokolliert. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| U.07.3 Datentrennung – Verwaltungsfunktionen | U.07.3 | U.07.3: Die Berechtigungen zum Anzeigen oder Ändern von CSC-Daten und/oder -Verschlüsselungsschlüsseln werden kontrolliert erteilt, und die Verwendung protokolliert. | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.2 | Unter der Verantwortung des CSP wird Administrator*innen der Zugriff gewährt. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.3 | Nur Benutzer*innen mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.3 | Nur Benutzer*innen mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | 3.0.0 |
| U.10.5 Zugriff auf IT-Dienste und -Daten - Kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| U.11.1 Cryptoservices - Richtlinie | U.11.1 | In der Kryptografierichtlinie wurden zumindest die Themen gemäß BIO ausgearbeitet. | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| U.11.2 Cryptoservices - Kryptografische Measures | U.11.2 | Bei PKIoverheid-Zertifikaten werden PKIoverheid-Anforderungen für die Schlüsselverwaltung verwendet. Verwenden Sie in anderen Situationen ISO11770. | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.0 |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | 2.0.1 |
| U.11.3 Cryptoservices - Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und vom CSC aufgezeichnet. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und vom CSC aufgezeichnet. | Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | 2.0.1 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und vom CSC aufgezeichnet. | Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | 1.0.2 |
| U.15.3 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.3 | CSP verwaltet eine Liste aller Ressourcen, die für die Protokollierung und Überwachung von entscheidender Bedeutung sind, und überprüft diese Liste. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
PCI-DSS 3.2.1
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter PCI-DSS 3.2.1. Weitere Informationen zu diesem Compliancestandard finden Sie unter PCI-DSS 3.2.1.
PCI-DSS v4.0
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Details zur Azure Policy-Einhaltung gesetzlicher Vorschriften für PCI-DSS v4.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter PCI-DSS v4.0.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten | 10.2.2 | Überwachungsprotokolle werden implementiert, um die Erkennung von Anomalien und verdächtigen Aktivitäten sowie die forensische Analyse von Ereignissen zu unterstützen. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten | 10.3.3 | Überwachungsprotokolle sind vor Vernichtung und nicht autorisierten Änderungen geschützt. | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken | 11.3.1 | Externe und interne Sicherheitsrisiken werden regelmäßig identifiziert, priorisiert und behoben. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Anforderung 03: Schützen gespeicherter Kontodaten | 3.3.3 | Vertrauliche Authentifizierungsdaten (SAD) werden nach der Autorisierung nicht gespeichert. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Anforderung 03: Schützen gespeicherter Kontodaten | 3.5.1 | Die primäre Kontonummer (PAN) ist überall dort gesichert, wo sie gespeichert ist. | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| Anforderung 05: Schutz aller Systeme und Netzwerke vor Schadsoftware | 5.2.1 | Schadsoftware (Malware) wird verhindert, erkannt und behoben. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Anforderung 05: Schutz aller Systeme und Netzwerke vor Schadsoftware | 5.2.2 | Schadsoftware (Malware) wird verhindert, erkannt und behoben. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Anforderung 05: Schutz aller Systeme und Netzwerke vor Schadsoftware | 5.2.3 | Schadsoftware (Malware) wird verhindert, erkannt und behoben. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Anforderung 06: Entwicklung und Wartung sicherer Systeme und Software | 6.2.4 | Individuelle und benutzerdefinierte Software werden sicher entwickelt. | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| Anforderung 06: Entwicklung und Wartung sicherer Systeme und Software | 6.3.3 | Sicherheitsrisiken werden identifiziert und behoben. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Anforderung 06: Entwicklung und Wartung sicherer Systeme und Software | 6.4.1 | Öffentlich zugängliche Webanwendungen sind vor Angriffen geschützt. | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Anforderung 07: Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen | 7.3.1 | Der Zugriff auf Systemkomponenten und Daten wird über Zugriffssteuerungssysteme verwaltet. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Anforderung 08: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten | 8.4.1 | Multi-Faktor-Authentifizierung (MFA) wird implementiert, um den Zugriff auf das CDE zu sichern. | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
Reserve Bank of India – IT-Framework für NBFC (Nichtbanken-Finanzgesellschaft)
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – Reserve Bank of India – IT-Framework für NBFC (Nichtbanken-Finanzgesellschaft). Weitere Informationen zu diesem Compliancestandard finden Sie unter Reserve Bank of India – IT Framework für NBFC (Nichtbanken-Finanzgesellschaft).
Reserve Bank of India – IT-Framework für Banken v2016
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – RBI ITF Banks v2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter RBI ITF Banks v2016 (PDF).
RMIT Malaysia
Um zu überprüfen, wie die verfügbaren Azure-Richtlinienintegrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, lesen Sie Azure Policy Regulatory Compliance – RMIT Malaysia. Weitere Informationen zu diesem Compliancestandard finden Sie unter RMIT Malaysia.
SWIFT CSP-CSCF v2021
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Azure-Richtliniendetails zur Einhaltung gesetzlicher Bestimmungen für SWIFT CSP-CSCF v2021. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter SWIFT CSP CSCF v2021.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| SWIFT-Umgebungsschutz | 1.1 | SWIFT-Umgebungsschutz | Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | 1.1.0 |
| SWIFT-Umgebungsschutz | 1.1 | SWIFT-Umgebungsschutz | SQL Server sollte einen VNET-Dienstendpunkt verwenden | 1.0.0 |
| SWIFT-Umgebungsschutz | 1.2 | Privilegierte Kontosteuerung des Betriebssystems | Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | 1.0.0 |
| Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.1 | Sicherheit des internen Datenflusses | Die Azure SQL-Datenbank muss TLS-Version 1.2 oder höher verwenden. | 2.0.0 |
| Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.1 | Sicherheit des internen Datenflusses | SQL Managed Instance muss TLS-Version 1.2 oder höher verwenden | 1.0.1 |
| Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.5A | Datenschutz für externe Übertragung | Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | 2.0.0 |
| Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.5A | Datenschutz für externe Übertragung | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.6 | Vertraulichkeit und Integrität der Operatorsitzung | Die Azure SQL-Datenbank muss TLS-Version 1.2 oder höher verwenden. | 2.0.0 |
| Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.6 | Vertraulichkeit und Integrität der Operatorsitzung | SQL Managed Instance muss TLS-Version 1.2 oder höher verwenden | 1.0.1 |
| Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.7 | Überprüfung auf Sicherheitsrisiken | Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | 4.1.0 |
| Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.7 | Überprüfung auf Sicherheitsrisiken | Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.1 |
| Reduzieren der Angriffsoberfläche und Sicherheitsrisiken | 2.7 | Überprüfung auf Sicherheitsrisiken | Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | 3.0.0 |
| Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.3 | Datenbankintegrität | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
| Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.3 | Datenbankintegrität | Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | 1.1.0 |
| Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.3 | Datenbankintegrität | Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | 3.0.0 |
| Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.3 | Datenbankintegrität | Transparent Data Encryption für SQL-Datenbanken aktivieren | 2.0.0 |
| Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen | 6.4 | Protokollierung und Überwachung | Die Überwachung in SQL Server muss aktiviert werden | 2.0.0 |
UK OFFICIAL und UK NHS
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: UK OFFICIAL and UK NHS. Weitere Informationen zu diesem Compliancestandard finden Sie unter UK OFFICIAL.
Nächste Schritte
- Weitere Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.