Freigeben über


Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.1.0

Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in CIS Microsoft Azure Foundations Benchmark 1.1.0 entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark 1.1.0. Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.

Die folgenden Zuordnungen gelten für die Steuerungen gemäß CIS Microsoft Azure Foundations Benchmark 1.1.0. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend die integrierte Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark v1.1.0, und wählen Sie sie aus.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

1 Identitäts- und Zugriffsverwaltung

Sicherstellen, dass die mehrstufige Authentifizierung für alle privilegierten Benutzer aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.1 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Biometrische Authentifizierungsmechanismen anwenden CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden Manuell, deaktiviert 1.1.0

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.10 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0

„Benutzer können Anwendungen registrieren“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.11 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0

„Gastbenutzerberechtigungen sind eingeschränkt“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.12 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Zugriffssteuerungsmodell entwerfen CMA_0129 – Zugriffssteuerungsmodell entwerfen Manuell, deaktiviert 1.1.0
Zugriff mit den geringsten Rechten verwenden CMA_0212 – Zugriff mit den geringsten Rechten verwenden Manuell, deaktiviert 1.1.0
Logischen Zugriff erzwingen CMA_0245 – Logischen Zugriff erzwingen Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Genehmigung für Kontoerstellung anfordern CMA_0431 – Genehmigung für Kontoerstellung anfordern Manuell, deaktiviert 1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen Manuell, deaktiviert 1.1.0

„Mitglieder können einladen“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.13 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Zugriffssteuerungsmodell entwerfen CMA_0129 – Zugriffssteuerungsmodell entwerfen Manuell, deaktiviert 1.1.0
Zugriff mit den geringsten Rechten verwenden CMA_0212 – Zugriff mit den geringsten Rechten verwenden Manuell, deaktiviert 1.1.0
Logischen Zugriff erzwingen CMA_0245 – Logischen Zugriff erzwingen Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Genehmigung für Kontoerstellung anfordern CMA_0431 – Genehmigung für Kontoerstellung anfordern Manuell, deaktiviert 1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen Manuell, deaktiviert 1.1.0

„Gäste können einladen“ muss auf „Nein“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.14 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Zugriffssteuerungsmodell entwerfen CMA_0129 – Zugriffssteuerungsmodell entwerfen Manuell, deaktiviert 1.1.0
Zugriff mit den geringsten Rechten verwenden CMA_0212 – Zugriff mit den geringsten Rechten verwenden Manuell, deaktiviert 1.1.0
Logischen Zugriff erzwingen CMA_0245 – Logischen Zugriff erzwingen Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Genehmigung für Kontoerstellung anfordern CMA_0431 – Genehmigung für Kontoerstellung anfordern Manuell, deaktiviert 1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen Manuell, deaktiviert 1.1.0

„Zugriff auf Azure AD-Verwaltungsportal einschränken“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.15 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Logischen Zugriff erzwingen CMA_0245 – Logischen Zugriff erzwingen Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0
Genehmigung für Kontoerstellung anfordern CMA_0431 – Genehmigung für Kontoerstellung anfordern Manuell, deaktiviert 1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen Manuell, deaktiviert 1.1.0

„Self-Service-Gruppenverwaltung aktiviert“ muss auf „Nein“ festgelegt sein

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.16 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0

„Benutzer können Sicherheitsgruppen erstellen“ muss auf „Nein“ festgelegt sein

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.17 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0

„Benutzer, die Sicherheitsgruppen verwalten können“ muss auf „Keine“ festgelegt sein

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.18 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0

„Benutzer können Office 365-Gruppen erstellen“ muss auf „Nein“ festgelegt sein

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.19 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die mehrstufige Authentifizierung für alle nicht privilegierten Benutzer aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.2 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Biometrische Authentifizierungsmechanismen anwenden CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden Manuell, deaktiviert 1.1.0

„Benutzer, die Office 365-Gruppen verwalten können“ muss auf „Keine“ festgelegt sein

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.20 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0

„Mehrstufige Authentifizierung zum Verknüpfen von Geräten erforderlich“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.22 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Biometrische Authentifizierungsmechanismen anwenden CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden Manuell, deaktiviert 1.1.0
Remotezugriff autorisieren CMA_0024 – Remotezugriff autorisieren Manuell, deaktiviert 1.1.0
Mobilitätstraining dokumentieren CMA_0191 – Mobilitätstraining dokumentieren Manuell, deaktiviert 1.1.0
Richtlinien für den Remotezugriff dokumentieren CMA_0196 – Richtlinien für den Remotezugriff dokumentieren Manuell, deaktiviert 1.1.0
Netzwerkgeräte identifizieren und authentifizieren CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren Manuell, deaktiviert 1.1.0
Training zum Datenschutz bereitstellen CMA_0415 – Training zum Datenschutz bereitstellen Manuell, deaktiviert 1.1.0
Tokenqualitätsanforderungen erfüllen CMA_0487 – Tokenqualitätsanforderungen erfüllen Manuell, deaktiviert 1.1.0

Sicherstellen, dass keine benutzerdefinierten Abonnementbesitzerrollen erstellt werden

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.23 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Zugriffssteuerungsmodell entwerfen CMA_0129 – Zugriffssteuerungsmodell entwerfen Manuell, deaktiviert 1.1.0
Zugriff mit den geringsten Rechten verwenden CMA_0212 – Zugriff mit den geringsten Rechten verwenden Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass keine Gastbenutzer vorhanden sind

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.3 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 1.0.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 1.0.0
Benutzerberechtigungen bei Bedarf neu zuweisen oder entfernen CMA_C1040 – Benutzerberechtigungen bei Bedarf neu zuweisen oder entfernen Manuell, deaktiviert 1.1.0
Kontobereitstellungsprotokolle überprüfen CMA_0460 – Kontobereitstellungsprotokolle überprüfen Manuell, deaktiviert 1.1.0
Überprüfen von Benutzerkonten CMA_0480 – Überprüfen von Benutzerkonten Manuell, deaktiviert 1.1.0
Benutzerberechtigungen überprüfen CMA_C1039 – Benutzerberechtigungen überprüfen Manuell, deaktiviert 1.1.0

„Benutzern das Speichern der Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten ermöglichen“ muss auf „Deaktiviert“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Biometrische Authentifizierungsmechanismen anwenden CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden Manuell, deaktiviert 1.1.0
Netzwerkgeräte identifizieren und authentifizieren CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren Manuell, deaktiviert 1.1.0
Tokenqualitätsanforderungen erfüllen CMA_0487 – Tokenqualitätsanforderungen erfüllen Manuell, deaktiviert 1.1.0

„Anzahl der Tage, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen erneut zu bestätigen“ darf nicht auf „0“ festgelegt sein

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Kontoverwaltung automatisieren CMA_0026 – Kontoverwaltung automatisieren Manuell, deaktiviert 1.1.0
System- und Administratorkonten verwalten CMA_0368 – System- und Administratorkonten verwalten Manuell, deaktiviert 1.1.0
Zugriff in der gesamten Organisation überwachen CMA_0376 – Zugriff in der gesamten Organisation überwachen Manuell, deaktiviert 1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird Manuell, deaktiviert 1.1.0

„Benutzer über Kennwortzurücksetzungen benachrichtigen?“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Kontoverwaltung automatisieren CMA_0026 – Kontoverwaltung automatisieren Manuell, deaktiviert 1.1.0
Schulung zum Schutz von Authentifikatoren implementieren CMA_0329 – Schulung zum Schutz von Authentifikatoren implementieren Manuell, deaktiviert 1.1.0
System- und Administratorkonten verwalten CMA_0368 – System- und Administratorkonten verwalten Manuell, deaktiviert 1.1.0
Zugriff in der gesamten Organisation überwachen CMA_0376 – Zugriff in der gesamten Organisation überwachen Manuell, deaktiviert 1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird Manuell, deaktiviert 1.1.0

„Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen?“ muss auf „Ja“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Kontoverwaltung automatisieren CMA_0026 – Kontoverwaltung automatisieren Manuell, deaktiviert 1.1.0
Schulung zum Schutz von Authentifikatoren implementieren CMA_0329 – Schulung zum Schutz von Authentifikatoren implementieren Manuell, deaktiviert 1.1.0
System- und Administratorkonten verwalten CMA_0368 – System- und Administratorkonten verwalten Manuell, deaktiviert 1.1.0
Zugriff in der gesamten Organisation überwachen CMA_0376 – Zugriff in der gesamten Organisation überwachen Manuell, deaktiviert 1.1.0
Privilegierte Rollenzuweisung überwachen CMA_0378 – Privilegierte Rollenzuweisung überwachen Manuell, deaktiviert 1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird Manuell, deaktiviert 1.1.0
Zugriff auf privilegierte Konten einschränken CMA_0446 – Zugriff auf privilegierte Konten einschränken Manuell, deaktiviert 1.1.0
Privilegierte Rollen nach Bedarf widerrufen CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen Manuell, deaktiviert 1.1.0
Privileged Identity Management verwenden CMA_0533 – Privileged Identity Management verwenden Manuell, deaktiviert 1.1.0

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.9 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0

2 Security Center

Sicherstellen, dass der Tarif „Standard“ ausgewählt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden Manuell, deaktiviert 1.1.0
Verwalten von Gateways CMA_0363 – Gateways verwalten Manuell, deaktiviert 1.1.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage muss aktiviert sein. Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Disabled 1.0.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Virendefinitionen aktualisieren CMA_0517 – Virendefinitionen aktualisieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Sicherheitsrisikobewertung überwachen“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.10 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Disabled 3.0.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Speicherblobverschlüsselung überwachen“ nicht „Deaktiviert“ ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.11 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenleck-Verwaltungsprozedur einrichten CMA_0255 – Datenleck-Verwaltungsprozedur einrichten Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „JIT-Netzwerkzugriff überwachen“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.12 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden Manuell, deaktiviert 1.1.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „SQL-Überwachung überwachen“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.14 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „SQL-Verschlüsselung überwachen“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.15 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenleck-Verwaltungsprozedur einrichten CMA_0255 – Datenleck-Verwaltungsprozedur einrichten Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0
Transparent Data Encryption für SQL-Datenbanken aktivieren TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Disabled 2.0.0

Sicherstellen, dass „E-Mail-Adressen für Sicherheitskontakt“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.16 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Sicherstellen, dass „E-Mail-Benachrichtigung für Warnungen mit hohem Schweregrad senden“ auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.18 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.2.0

Sicherstellen, dass „E-Mails auch an Abonnementbesitzer senden“ auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.19 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.1.0

Sicherstellen, dass „Automatische Bereitstellung des Überwachungs-Agents“ auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.2 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Security Operations dokumentieren CMA_0202 – Security Operations dokumentieren Manuell, deaktiviert 1.1.0
Sensoren für Endpunktsicherheitslösung aktivieren CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Systemupdates überwachen“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Betriebssystem-Sicherheitsrisiken überwachen“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.4 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Endpoint Protection überwachen“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Verwalten von Gateways CMA_0363 – Gateways verwalten Manuell, deaktiviert 1.1.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Virendefinitionen aktualisieren CMA_0517 – Virendefinitionen aktualisieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Datenträgerverschlüsselung überwachen“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.6 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenleck-Verwaltungsprozedur einrichten CMA_0255 – Datenleck-Verwaltungsprozedur einrichten Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Netzwerksicherheitsgruppen überwachen“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationsfluss steuern CMA_0079 – Informationsfluss steuern Manuell, deaktiviert 1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden Manuell, deaktiviert 1.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Web Application Firewall überwachen“ nicht „Deaktiviert“ ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.8 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationsfluss steuern CMA_0079 – Informationsfluss steuern Manuell, deaktiviert 1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden Manuell, deaktiviert 1.1.0

Sicherstellen, dass die ASC-Standardrichtlinieneinstellung „Next Generation Firewall-Überwachung aktivieren“ nicht deaktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.9 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationsfluss steuern CMA_0079 – Informationsfluss steuern Manuell, deaktiviert 1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden Manuell, deaktiviert 1.1.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0

3 Speicherkonten

Sicherstellen, dass „Sichere Übertragung erforderlich“ aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.1 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Kennwörter mit Verschlüsselung schützen CMA_0408 – Kennwörter mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0

Zugriffsschlüssel für Speicherkonten müssen regelmäßig neu generiert werden.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwaltungsprozess physischer Schlüssel definieren CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren Manuell, deaktiviert 1.1.0
Kryptografische Verwendung definieren CMA_0120 – Kryptografische Verwendung definieren Manuell, deaktiviert 1.1.0
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren Manuell, deaktiviert 1.1.0
Assertionsanforderungen bestimmen CMA_0136 – Assertionsanforderungen bestimmen Manuell, deaktiviert 1.1.0
Öffentliche Schlüsselzertifikate ausstellen CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen Manuell, deaktiviert 1.1.0
Symmetrische kryptografische Schlüssel verwalten CMA_0367 – Symmetrische kryptografische Schlüssel verwalten Manuell, deaktiviert 1.1.0
Zugriff auf private Schlüssel einschränken CMA_0445 – Zugriff auf private Schlüssel einschränken Manuell, deaktiviert 1.1.0

Für Lese-, Schreib- und Löschanforderungen an den Warteschlangendienst muss die Speicherprotokollierung aktiviert sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Azure-Überwachungsfunktionen konfigurieren CMA_C1108: Azure-Überwachungsfunktionen konfigurieren Manuell, deaktiviert 1.1.1
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0

SAS-Token (Shared Access Signature) müssen innerhalb einer Stunde ablaufen.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Authentifikatoren bei Beendigung deaktivieren CMA_0169 – Authentifikatoren bei Beendigung deaktivieren Manuell, deaktiviert 1.1.0
Privilegierte Rollen nach Bedarf widerrufen CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen Manuell, deaktiviert 1.1.0
Benutzersitzung automatisch beenden CMA_C1054 – Benutzersitzung automatisch beenden Manuell, deaktiviert 1.1.0

SAS-Token (Shared Access Signature) dürfen nur über HTTPS zugelassen sein

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Kennwörter mit Verschlüsselung schützen CMA_0408 – Kennwörter mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass „Öffentliche Zugriffsebene“ für Blobcontainer auf „Privat“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 3.1.0-preview
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Logischen Zugriff erzwingen CMA_0245 – Logischen Zugriff erzwingen Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Genehmigung für Kontoerstellung anfordern CMA_0431 – Genehmigung für Kontoerstellung anfordern Manuell, deaktiviert 1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen Manuell, deaktiviert 1.1.0

Sicherstellen, dass die Standard-Netzwerkzugriffsregel für Speicherkonten auf „Verweigern“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.7 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1

Sicherstellen, dass „Vertrauenswürdige Microsoft-Dienste“ für den Speicherkontozugriff aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.8 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationsfluss steuern CMA_0079 – Informationsfluss steuern Manuell, deaktiviert 1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden Manuell, deaktiviert 1.1.0
Firewall- und Routerkonfigurationsstandards einrichten CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten Manuell, deaktiviert 1.1.0
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten Manuell, deaktiviert 1.1.0
Downstream-Informationsaustausche identifizieren und verwalten CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten Manuell, deaktiviert 1.1.0
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen. Audit, Deny, Disabled 1.0.0

4 Datenbankdienste

Sicherstellen, dass „Überwachung“ auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0

Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit BYOK (also unter Verwendung eines eigenen Schlüssels) verschlüsselt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.10 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenleck-Verwaltungsprozedur einrichten CMA_0255 – Datenleck-Verwaltungsprozedur einrichten Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.1

Sicherstellen, dass „SSL-Verbindung erzwingen“ für den MySQL-Datenbankserver auf „AKTIVIERT“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.11 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren Manuell, deaktiviert 1.1.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Kennwörter mit Verschlüsselung schützen CMA_0408 – Kennwörter mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass der Serverparameter „log_checkpoints“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.12 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Protokollprüfpunkte für PostgreSQL-Datenbankserver müssen aktiviert sein Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_checkpoints-Einstellung aktiviert ist. AuditIfNotExists, Disabled 1.0.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0

Sicherstellen, dass „SSL-Verbindung erzwingen“ für den PostgreSQL-Datenbankserver auf „AKTIVIERT“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.13 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren Manuell, deaktiviert 1.1.0
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Kennwörter mit Verschlüsselung schützen CMA_0408 – Kennwörter mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass der Serverparameter „log_connections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.14 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Protokollverbindungen für PostgreSQL-Datenbankserver müssen aktiviert sein Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_connections-Einstellung aktiviert ist. AuditIfNotExists, Disabled 1.0.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0

Sicherstellen, dass der Serverparameter „log_disconnections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.15 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Verbindungstrennungen für PostgreSQL-Datenbankserver müssen aktiviert sein Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_disconnections-Einstellung aktiviert ist. AuditIfNotExists, Disabled 1.0.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0

Sicherstellen, dass der Serverparameter „log_duration“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.16 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0

Sicherstellen, dass der Serverparameter „connection_throttling“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.17 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Die Verbindungsdrosselung muss für PostgreSQL-Datenbankserver aktiviert sein Mit dieser Richtlinie können Sie überwachen, ob für alle PostgreSQL-Datenbanken in Ihrer Umgebung die Verbindungsdrosselung aktiviert ist. Diese Einstellung aktiviert die temporäre Verbindungsdrosselung pro IP-Adresse bei zu vielen Anmeldefehlern aufgrund ungültiger Kennwörter. AuditIfNotExists, Disabled 1.0.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0

Für PostgreSQL-Datenbankserver muss der Serverparameter „log_retention_days“ auf einen höheren Wert als 3 Tage festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.18 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten Manuell, deaktiviert 1.1.0
Überwachungsverarbeitungsaktivitäten steuern und überwachen CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen Manuell, deaktiviert 1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten Manuell, deaktiviert 1.1.0
Daten von gekündigten Benutzern aufbewahren CMA_0455 – Daten von gekündigten Benutzern aufbewahren Manuell, deaktiviert 1.1.0

Sicherstellen, dass der Azure Active Directory-Administrator konfiguriert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.19 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Kontoverwaltung automatisieren CMA_0026 – Kontoverwaltung automatisieren Manuell, deaktiviert 1.1.0
System- und Administratorkonten verwalten CMA_0368 – System- und Administratorkonten verwalten Manuell, deaktiviert 1.1.0
Zugriff in der gesamten Organisation überwachen CMA_0376 – Zugriff in der gesamten Organisation überwachen Manuell, deaktiviert 1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird Manuell, deaktiviert 1.1.0

Sicherstellen, dass „AuditActionGroups“ in der Überwachungsrichtlinie für eine SQL Server-Instanz ordnungsgemäß festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0
Für SQL-Überwachungseinstellungen müssen Aktionsgruppen zum Erfassen kritischer Aktivitäten konfiguriert sein Die AuditActionsAndGroups-Eigenschaft muss mindestens SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP enthalten, um eine umfassende Überwachungsprotokollierung sicherzustellen. AuditIfNotExists, Disabled 1.0.0

Sicherstellen, dass die Aufbewahrungsdauer für die Überwachung auf über 90 Tage festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten Manuell, deaktiviert 1.1.0
Überwachungsverarbeitungsaktivitäten steuern und überwachen CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen Manuell, deaktiviert 1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten Manuell, deaktiviert 1.1.0
Daten von gekündigten Benutzern aufbewahren CMA_0455 – Daten von gekündigten Benutzern aufbewahren Manuell, deaktiviert 1.1.0
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. AuditIfNotExists, Disabled 3.0.0

Sicherstellen, dass „Advanced Data Security“ für eine SQL Server-Instanz auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0

Sicherstellen, dass „Bedrohungstypen für Erkennung“ auf „Alle“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0

Sicherstellen, dass „Warnungen senden an“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass „E-Mail-Dienst und Co-Administratoren“ aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass der Azure Active Directory-Administrator konfiguriert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.8 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
Kontoverwaltung automatisieren CMA_0026 – Kontoverwaltung automatisieren Manuell, deaktiviert 1.1.0
System- und Administratorkonten verwalten CMA_0368 – System- und Administratorkonten verwalten Manuell, deaktiviert 1.1.0
Zugriff in der gesamten Organisation überwachen CMA_0376 – Zugriff in der gesamten Organisation überwachen Manuell, deaktiviert 1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird Manuell, deaktiviert 1.1.0

Sicherstellen, dass „Datenverschlüsselung“ für eine SQL-Datenbank auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.9 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenleck-Verwaltungsprozedur einrichten CMA_0255 – Datenleck-Verwaltungsprozedur einrichten Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0
Transparent Data Encryption für SQL-Datenbanken aktivieren TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Disabled 2.0.0

5 Protokollierung und Überwachung

Sicherstellen, dass ein Protokollprofil vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.1 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten Manuell, deaktiviert 1.1.0
Azure-Abonnements benötigen ein Protokollprofil für das Aktivitätsprotokoll Diese Richtlinie stellt sicher, dass ein Protokollprofil für den Export von Aktivitätsprotokollen aktiviert ist. Sie überwacht, ob für den Export der Protokolle entweder in ein Speicherkonto oder in einen Event Hub ein Protokollprofil erstellt wurde. AuditIfNotExists, Disabled 1.0.0
Überwachungsverarbeitungsaktivitäten steuern und überwachen CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen Manuell, deaktiviert 1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten Manuell, deaktiviert 1.1.0
Daten von gekündigten Benutzern aufbewahren CMA_0455 – Daten von gekündigten Benutzern aufbewahren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die Speicherdauer für Aktivitätsprotokolle auf mindestens 365 Tage festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.2 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Das Aktivitätsprotokoll muss mindestens ein Jahr lang aufbewahrt werden Diese Richtlinie überwacht das Aktivitätsprotokoll, wenn die Aufbewahrung nicht auf 365 Tage oder unbegrenzt (Festlegung der Aufbewahrungstage auf 0) festgelegt ist. AuditIfNotExists, Disabled 1.0.0
Festgelegte Aufbewahrungszeiträume einhalten CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten Manuell, deaktiviert 1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten Manuell, deaktiviert 1.1.0
Daten von gekündigten Benutzern aufbewahren CMA_0455 – Daten von gekündigten Benutzern aufbewahren Manuell, deaktiviert 1.1.0

Sicherstellen, dass mit dem Überwachungsprofil alle Aktivitäten erfasst werden

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.3 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten Manuell, deaktiviert 1.1.0
Das Azure Monitor-Protokollprofil muss Protokolle für die Kategorien „write“, „delete“ und „action“ erfassen Diese Richtlinie stellt sicher, dass ein Protokollprofil Protokolle für die Kategorien „write“, „delete“ und „action“ sammelt. AuditIfNotExists, Disabled 1.0.0
Überwachungsverarbeitungsaktivitäten steuern und überwachen CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen Manuell, deaktiviert 1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten Manuell, deaktiviert 1.1.0
Daten von gekündigten Benutzern aufbewahren CMA_0455 – Daten von gekündigten Benutzern aufbewahren Manuell, deaktiviert 1.1.0

Sicherstellen, dass mit dem Protokollprofil die Aktivitätsprotokolle für alle Regionen erfasst werden (einschließlich global)

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten Manuell, deaktiviert 1.1.0
Azure Monitor muss Aktivitätsprotokolle aus allen Regionen erfassen Diese Richtlinie überwacht das Azure Monitor-Protokollprofil darauf, dass keine Aktivitäten aus allen unterstützten Azure-Regionen, einschließlich „Global“, exportiert werden. AuditIfNotExists, Disabled 2.0.0
Überwachungsverarbeitungsaktivitäten steuern und überwachen CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen Manuell, deaktiviert 1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten Manuell, deaktiviert 1.1.0
Daten von gekündigten Benutzern aufbewahren CMA_0455 – Daten von gekündigten Benutzern aufbewahren Manuell, deaktiviert 1.1.0

Sicherstellen, dass der Speichercontainer, in dem die Aktivitätsprotokolle gespeichert sind, nicht öffentlich zugänglich ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 3.1.0-preview
Duale oder gemeinsame Autorisierung aktivieren CMA_0226 – Duale oder gemeinsame Autorisierung aktivieren Manuell, deaktiviert 1.1.0
Überwachungsinformationen schützen CMA_0401 – Überwachungsinformationen schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, per BYOK (Bring Your Own Key) verschlüsselt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Duale oder gemeinsame Autorisierung aktivieren CMA_0226 – Duale oder gemeinsame Autorisierung aktivieren Manuell, deaktiviert 1.1.0
Integrität des Überwachungssystems beibehalten CMA_C1133 – Integrität des Überwachungssystems beibehalten Manuell, deaktiviert 1.1.0
Überwachungsinformationen schützen CMA_0401 – Überwachungsinformationen schützen Manuell, deaktiviert 1.1.0
Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur Azure Storage-Verschlüsselung im Ruhezustand finden Sie unter https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0

Sicherstellen, dass die Protokollierung für Azure Key Vault aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Privilegierte Funktionen überwachen CMA_0019 – Privilegierte Funktionen überwachen Manuell, deaktiviert 1.1.0
Status des Benutzerkontos überwachen CMA_0020 – Status des Benutzerkontos überwachen Manuell, deaktiviert 1.1.0
Überwachbare Ereignisse bestimmen CMA_0137 – Überwachbare Ereignisse bestimmen Manuell, deaktiviert 1.1.0
In einem verwalteten Azure Key Vault-HSM müssen Ressourcenprotokolle aktiviert sein Sie können eine Überwachung durchführen, indem Sie Ressourcenprotokolle für verwaltete HSMs aktivieren. Auf diese Weise können Sie zu Untersuchungszwecken vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. Befolgen Sie die hier aufgeführten Anweisungen: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
Überwachungsdaten überprüfen CMA_0466 – Überwachungsdaten überprüfen Manuell, deaktiviert 1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Richtlinienzuweisung erstellen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 3.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe erstellen oder aktualisieren“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.2 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe löschen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.3 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für die Regel „Netzwerksicherheitsgruppe erstellen oder aktualisieren“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.4 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für die Regel „Netzwerksicherheitsgruppe löschen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.5 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Sicherheitslösung erstellen oder aktualisieren“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.6 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Sicherheitslösung löschen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.7 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „SQL Server-Firewallregel erstellen oder aktualisieren bzw. löschen“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.8 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Sicherheitsrichtlinie aktualisieren“ vorhanden ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.9 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Personal bzgl. Informationslecks warnen CMA_0007 – Personal bzgl. Informationslecks warnen Manuell, deaktiviert 1.1.0
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. AuditIfNotExists, Disabled 1.0.0
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln Manuell, deaktiviert 1.1.0
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen Manuell, deaktiviert 1.1.0

6 Netzwerk

Keine SQL-Datenbank-Instanz darf eingehenden Datenverkehr von 0.0.0.0/0 (beliebige IP) zulassen.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationsfluss steuern CMA_0079 – Informationsfluss steuern Manuell, deaktiviert 1.1.0
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden Manuell, deaktiviert 1.1.0

Für Datenflussprotokolle der Netzwerksicherheitsgruppen muss die Aufbewahrungsdauer auf „mehr als 90 Tage“ festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Festgelegte Aufbewahrungszeiträume einhalten CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten Manuell, deaktiviert 1.1.0
Sicherheitsrichtlinien und -verfahren beibehalten CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten Manuell, deaktiviert 1.1.0
Daten von gekündigten Benutzern aufbewahren CMA_0455 – Daten von gekündigten Benutzern aufbewahren Manuell, deaktiviert 1.1.0

Sicherstellen, dass Network Watcher aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
Sicherheitsfunktionen bestätigen CMA_C1708 – Sicherheitsfunktionen bestätigen Manuell, deaktiviert 1.1.0

7 Virtuelle Computer

Sicherstellen, dass der Betriebssystem-Datenträger verschlüsselt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.1 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenleck-Verwaltungsprozedur einrichten CMA_0255 – Datenleck-Verwaltungsprozedur einrichten Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass reguläre Datenträger verschlüsselt sind

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenleck-Verwaltungsprozedur einrichten CMA_0255 – Datenleck-Verwaltungsprozedur einrichten Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass „nicht angefügte Datenträger“ verschlüsselt sind

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenleck-Verwaltungsprozedur einrichten CMA_0255 – Datenleck-Verwaltungsprozedur einrichten Manuell, deaktiviert 1.1.0
Steuerelemente zum Sichern aller Medien implementieren CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Spezielle Informationen schützen CMA_0409 – Spezielle Informationen schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass nur genehmigte Erweiterungen installiert werden

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Es dürfen nur genehmigte VM-Erweiterungen installiert werden Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. Audit, Deny, Disabled 1.0.0

Sicherstellen, dass die neuesten Betriebssystempatches für alle virtuellen Computer angewendet werden

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.5 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass Endpoint Protection für alle virtuellen Computer installiert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden Manuell, deaktiviert 1.1.0
Security Operations dokumentieren CMA_0202 – Security Operations dokumentieren Manuell, deaktiviert 1.1.0
Verwalten von Gateways CMA_0363 – Gateways verwalten Manuell, deaktiviert 1.1.0
Trendanalyse für Bedrohungen ausführen CMA_0389 – Trendanalyse für Bedrohungen ausführen Manuell, deaktiviert 1.1.0
Sicherheitsrisikoüberprüfungen ausführen CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen Manuell, deaktiviert 1.1.0
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Bedrohungsschutzstatus wöchentlich überprüfen CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen Manuell, deaktiviert 1.1.0
Sensoren für Endpunktsicherheitslösung aktivieren CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren Manuell, deaktiviert 1.1.0
Virendefinitionen aktualisieren CMA_0517 – Virendefinitionen aktualisieren Manuell, deaktiviert 1.1.0
Software-, Firmware- und Informationsintegrität bestätigen CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen Manuell, deaktiviert 1.1.0

8 Weitere Überlegungen zur Sicherheit

Sicherstellen, dass das Ablaufdatum für alle Schlüssel festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwaltungsprozess physischer Schlüssel definieren CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren Manuell, deaktiviert 1.1.0
Kryptografische Verwendung definieren CMA_0120 – Kryptografische Verwendung definieren Manuell, deaktiviert 1.1.0
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren Manuell, deaktiviert 1.1.0
Assertionsanforderungen bestimmen CMA_0136 – Assertionsanforderungen bestimmen Manuell, deaktiviert 1.1.0
Öffentliche Schlüsselzertifikate ausstellen CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen Manuell, deaktiviert 1.1.0
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.2
Symmetrische kryptografische Schlüssel verwalten CMA_0367 – Symmetrische kryptografische Schlüssel verwalten Manuell, deaktiviert 1.1.0
Zugriff auf private Schlüssel einschränken CMA_0445 – Zugriff auf private Schlüssel einschränken Manuell, deaktiviert 1.1.0

Sicherstellen, dass das Ablaufdatum für alle Geheimnisse festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwaltungsprozess physischer Schlüssel definieren CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren Manuell, deaktiviert 1.1.0
Kryptografische Verwendung definieren CMA_0120 – Kryptografische Verwendung definieren Manuell, deaktiviert 1.1.0
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren Manuell, deaktiviert 1.1.0
Assertionsanforderungen bestimmen CMA_0136 – Assertionsanforderungen bestimmen Manuell, deaktiviert 1.1.0
Öffentliche Schlüsselzertifikate ausstellen CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen Manuell, deaktiviert 1.1.0
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.2
Symmetrische kryptografische Schlüssel verwalten CMA_0367 – Symmetrische kryptografische Schlüssel verwalten Manuell, deaktiviert 1.1.0
Zugriff auf private Schlüssel einschränken CMA_0445 – Zugriff auf private Schlüssel einschränken Manuell, deaktiviert 1.1.0

Für unternehmenskritische Azure-Ressourcen müssen Ressourcensperren festgelegt sein.

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Änderungssteuerungsprozesse einrichten und dokumentieren CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass der Schlüsseltresor wiederhergestellt werden kann

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Für ein verwaltetes Azure Key Vault-HSM muss der Löschschutz aktiviert sein Das böswillige Löschen eines verwalteten Azure Key Vault-HSM kann zu dauerhaftem Datenverlust führen. Ein böswilliger Insider in Ihrer Organisation kann ein verwaltetes Azure Key Vault-HSM löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für ein vorläufig gelöschtes verwaltetes Azure Key Vault-HSM durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihr verwaltetes Azure Key Vault-HSM während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Audit, Deny, Disabled 1.0.0
Für Schlüsseltresore sollte der Löschschutz aktiviert sein Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. Audit, Deny, Disabled 2.1.0
Verfügbarkeit von Informationen beibehalten CMA_C1644 – Verfügbarkeit von Informationen beibehalten Manuell, deaktiviert 1.1.0

Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.5 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren Manuell, deaktiviert 1.1.0
Zugriff autorisieren und verwalten CMA_0023 – Zugriff autorisieren und verwalten Manuell, deaktiviert 1.1.0
Logischen Zugriff erzwingen CMA_0245 – Logischen Zugriff erzwingen Manuell, deaktiviert 1.1.0
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen Manuell, deaktiviert 1.1.0
Genehmigung für Kontoerstellung anfordern CMA_0431 – Genehmigung für Kontoerstellung anfordern Manuell, deaktiviert 1.1.0
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen Manuell, deaktiviert 1.1.0
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. Audit, Disabled 1.0.4

9 AppService

Sicherstellen, dass die App Service-Authentifizierung für Azure App Service festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.1 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Für App Service-Apps sollte die Authentifizierung aktiviert sein Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Web-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Web-App erreichen. AuditIfNotExists, Disabled 2.0.1
Beim kryptografischen Modul authentifizieren CMA_0021 – Beim kryptografischen Modul authentifizieren Manuell, deaktiviert 1.1.0
Benutzereindeutigkeit erzwingen CMA_0250 – Benutzereindeutigkeit erzwingen Manuell, deaktiviert 1.1.0
Für Funktions-Apps sollte die Authentifizierung aktiviert sein Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Funktions-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Funktions-App erreichen. AuditIfNotExists, Disabled 3.0.0
Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen CMA_0507 – Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass die neueste „HTTP-Version“ angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.10 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Service-Apps sollten die neueste „HTTP-Version“ verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Funktions-Apps sollten die neueste 'HTTP Version' verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die Web-App den gesamten HTTP-Datenverkehr in Azure App Service an HTTPS umleitet

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 4.0.0
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren Manuell, deaktiviert 1.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Kennwörter mit Verschlüsselung schützen CMA_0408 – Kennwörter mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass die Web-App die neueste Version der TLS-Verschlüsselung verwendet

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.3 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Service-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren Manuell, deaktiviert 1.1.0
Funktions-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
In Übertragung begriffene Daten mit Verschlüsselung schützen CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0
Kennwörter mit Verschlüsselung schützen CMA_0408 – Kennwörter mit Verschlüsselung schützen Manuell, deaktiviert 1.1.0

Sicherstellen, dass „Clientzertifikate (eingehende Clientzertifikate)“ für die Web-App auf „Ein“ festgelegt ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.4 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. Audit, Disabled 3.1.0-deprecated
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. AuditIfNotExists, Disabled 1.0.0
Beim kryptografischen Modul authentifizieren CMA_0021 – Beim kryptografischen Modul authentifizieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass „Registrierung bei Azure Active Directory“ für App Service aktiviert ist

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Kontoverwaltung automatisieren CMA_0026 – Kontoverwaltung automatisieren Manuell, deaktiviert 1.1.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
System- und Administratorkonten verwalten CMA_0368 – System- und Administratorkonten verwalten Manuell, deaktiviert 1.1.0
Zugriff in der gesamten Organisation überwachen CMA_0376 – Zugriff in der gesamten Organisation überwachen Manuell, deaktiviert 1.1.0
Benachrichtigen, wenn das Konto nicht benötigt wird CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird Manuell, deaktiviert 1.1.0

Sicherstellen, dass die neueste „.NET Framework“-Version angegeben ist, wenn sie als Teil der Web-App verwendet wird

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die neueste „PHP-Version“ angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.7 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die neueste „Python-Version“ angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.8 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Sicherstellen, dass die neueste „Java-Version“ angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird

ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.9 Eigentum: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Informationssystemfehler korrigieren CMA_0427 – Informationssystemfehler korrigieren Manuell, deaktiviert 1.1.0

Nächste Schritte

Weitere Artikel über Azure Policy: