Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 2.0.0
Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuermechanismen im CIS Microsoft Azure Foundations Benchmark 2.0.0 entspricht. Weitere Informationen zu diesem Compliancestandard finden Sie unter CIS Microsoft Azure Foundations Benchmark 2.0.0. Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.
Die folgenden Zuordnungen gelten für die Steuermechanismen gemäß CIS Microsoft Azure Foundations Benchmark 2.0.0. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend die Definition der integrierten Initiativen zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 2.0.0, und wählen Sie sie aus.
Wichtig
Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.
1.1
„Sicherheitsstandards“ muss in Azure Active Directory aktiviert sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.1.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Beim kryptografischen Modul authentifizieren | CMA_0021 – Beim kryptografischen Modul authentifizieren | Manuell, deaktiviert | 1.1.0 |
Remotezugriff autorisieren | CMA_0024 – Remotezugriff autorisieren | Manuell, deaktiviert | 1.1.0 |
Mobilitätstraining dokumentieren | CMA_0191 – Mobilitätstraining dokumentieren | Manuell, deaktiviert | 1.1.0 |
Richtlinien für den Remotezugriff dokumentieren | CMA_0196 – Richtlinien für den Remotezugriff dokumentieren | Manuell, deaktiviert | 1.1.0 |
Netzwerkgeräte identifizieren und authentifizieren | CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | Manuell, deaktiviert | 1.1.0 |
Training zum Datenschutz bereitstellen | CMA_0415 – Training zum Datenschutz bereitstellen | Manuell, deaktiviert | 1.1.0 |
Tokenqualitätsanforderungen erfüllen | CMA_0487 – Tokenqualitätsanforderungen erfüllen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Multi-Faktor-Authentifizierungsstatus“ für alle privilegierten Benutzer auf „Aktiviert“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.1.2 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Multi-Faktor-Authentifizierungsstatus“ für alle nicht privilegierten Benutzer auf „Aktiviert“ festgelegt ist
ID- CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.1.3 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Benutzern das Speichern der Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten ermöglichen“ auf „Deaktiviert“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.1.4 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Netzwerkgeräte identifizieren und authentifizieren | CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren | Manuell, deaktiviert | 1.1.0 |
Tokenqualitätsanforderungen erfüllen | CMA_0487 – Tokenqualitätsanforderungen erfüllen | Manuell, deaktiviert | 1.1.0 |
1
„Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen?“ muss auf „Ja“ festgelegt sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.10 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Kontoverwaltung automatisieren | CMA_0026 – Kontoverwaltung automatisieren | Manuell, deaktiviert | 1.1.0 |
Schulung zum Schutz von Authentifikatoren implementieren | CMA_0329 – Schulung zum Schutz von Authentifikatoren implementieren | Manuell, deaktiviert | 1.1.0 |
System- und Administratorkonten verwalten | CMA_0368 – System- und Administratorkonten verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff in der gesamten Organisation überwachen | CMA_0376 – Zugriff in der gesamten Organisation überwachen | Manuell, deaktiviert | 1.1.0 |
Privilegierte Rollenzuweisung überwachen | CMA_0378 – Privilegierte Rollenzuweisung überwachen | Manuell, deaktiviert | 1.1.0 |
Benachrichtigen, wenn das Konto nicht benötigt wird | CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird | Manuell, deaktiviert | 1.1.0 |
Zugriff auf privilegierte Konten einschränken | CMA_0446 – Zugriff auf privilegierte Konten einschränken | Manuell, deaktiviert | 1.1.0 |
Privilegierte Rollen nach Bedarf widerrufen | CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen | Manuell, deaktiviert | 1.1.0 |
Privileged Identity Management verwenden | CMA_0533 – Privileged Identity Management verwenden | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass User consent for applications
auf Do not allow user consent
festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.11 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Benutzer können Katalog-Apps zu 'Meine Apps' hinzufügen“ auf „Nein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.13 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Stellen Sie sicher, dass „Benutzer können Anwendungen registrieren“ auf „Nein“ festgelegt ist.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.14 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Zugriffseinschränkungen für Gastbenutzer“ auf „Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften ihrer eigenen Verzeichnisobjekte beschränkt“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.15 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriffssteuerungsmodell entwerfen | CMA_0129 – Zugriffssteuerungsmodell entwerfen | Manuell, deaktiviert | 1.1.0 |
Zugriff mit den geringsten Rechten verwenden | CMA_0212 – Zugriff mit den geringsten Rechten verwenden | Manuell, deaktiviert | 1.1.0 |
Logischen Zugriff erzwingen | CMA_0245 – Logischen Zugriff erzwingen | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Genehmigung für Kontoerstellung anfordern | CMA_0431 – Genehmigung für Kontoerstellung anfordern | Manuell, deaktiviert | 1.1.0 |
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Einschränkungen für gastbezogene Einladungen“ auf „Nur Benutzer mit bestimmten Administratorrollen können Gastbenutzer einladen“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.16 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriffssteuerungsmodell entwerfen | CMA_0129 – Zugriffssteuerungsmodell entwerfen | Manuell, deaktiviert | 1.1.0 |
Zugriff mit den geringsten Rechten verwenden | CMA_0212 – Zugriff mit den geringsten Rechten verwenden | Manuell, deaktiviert | 1.1.0 |
Logischen Zugriff erzwingen | CMA_0245 – Logischen Zugriff erzwingen | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Genehmigung für Kontoerstellung anfordern | CMA_0431 – Genehmigung für Kontoerstellung anfordern | Manuell, deaktiviert | 1.1.0 |
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Zugriff auf Azure AD-Verwaltungsportal einschränken“ auf „Ja“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.17 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Logischen Zugriff erzwingen | CMA_0245 – Logischen Zugriff erzwingen | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Genehmigung für Kontoerstellung anfordern | CMA_0431 – Genehmigung für Kontoerstellung anfordern | Manuell, deaktiviert | 1.1.0 |
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | Manuell, deaktiviert | 1.1.0 |
„Benutzerfähigkeit zum Zugriff auf Gruppenfunktionen im Zugriffsbereich einschränken“ muss auf „Nein“ festgelegt sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.18 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
„Benutzer können Sicherheitsgruppen in Azure-Portalen, API oder PowerShell erstellen“ muss auf „Nein“ festgelegt sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.19 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
„Besitzer können Anforderungen für eine Gruppenmitgliedschaft im Zugriffspanel verwalten“ muss auf „Nein“ festgelegt sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.20 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
„Benutzer können Microsoft 365-Gruppen in Azure-Portalen, API oder PowerShell erstellen“ muss auf „Nein“ festgelegt sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.21 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Multi-Faktor-Authentifizierung zum Registrieren oder Beitreten von Geräten mit Azure AD erforderlich“ auf „Ja“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.22 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Remotezugriff autorisieren | CMA_0024 – Remotezugriff autorisieren | Manuell, deaktiviert | 1.1.0 |
Mobilitätstraining dokumentieren | CMA_0191 – Mobilitätstraining dokumentieren | Manuell, deaktiviert | 1.1.0 |
Richtlinien für den Remotezugriff dokumentieren | CMA_0196 – Richtlinien für den Remotezugriff dokumentieren | Manuell, deaktiviert | 1.1.0 |
Netzwerkgeräte identifizieren und authentifizieren | CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | Manuell, deaktiviert | 1.1.0 |
Training zum Datenschutz bereitstellen | CMA_0415 – Training zum Datenschutz bereitstellen | Manuell, deaktiviert | 1.1.0 |
Tokenqualitätsanforderungen erfüllen | CMA_0487 – Tokenqualitätsanforderungen erfüllen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass keine benutzerdefinierten Abonnementadministratorrollen vorhanden sind
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.23 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriffssteuerungsmodell entwerfen | CMA_0129 – Zugriffssteuerungsmodell entwerfen | Manuell, deaktiviert | 1.1.0 |
Zugriff mit den geringsten Rechten verwenden | CMA_0212 – Zugriff mit den geringsten Rechten verwenden | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass einer benutzerdefinierten Rolle Berechtigungen zum Verwalten von Ressourcensperren zugewiesen sind
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.24 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Gastbenutzer regelmäßig überprüft werden
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.5 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Benutzerberechtigungen bei Bedarf neu zuweisen oder entfernen | CMA_C1040 – Benutzerberechtigungen bei Bedarf neu zuweisen oder entfernen | Manuell, deaktiviert | 1.1.0 |
Kontobereitstellungsprotokolle überprüfen | CMA_0460 – Kontobereitstellungsprotokolle überprüfen | Manuell, deaktiviert | 1.1.0 |
Überprüfen von Benutzerkonten | CMA_0480 – Überprüfen von Benutzerkonten | Manuell, deaktiviert | 1.1.0 |
Benutzerberechtigungen überprüfen | CMA_C1039 – Benutzerberechtigungen überprüfen | Manuell, deaktiviert | 1.1.0 |
„Anzahl der Tage, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen erneut zu bestätigen“ darf nicht auf „0“ festgelegt sein
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.8 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Kontoverwaltung automatisieren | CMA_0026 – Kontoverwaltung automatisieren | Manuell, deaktiviert | 1.1.0 |
System- und Administratorkonten verwalten | CMA_0368 – System- und Administratorkonten verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff in der gesamten Organisation überwachen | CMA_0376 – Zugriff in der gesamten Organisation überwachen | Manuell, deaktiviert | 1.1.0 |
Benachrichtigen, wenn das Konto nicht benötigt wird | CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird | Manuell, deaktiviert | 1.1.0 |
„Benutzer über Kennwortzurücksetzungen benachrichtigen?“ muss auf „Ja“ festgelegt sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.9 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Kontoverwaltung automatisieren | CMA_0026 – Kontoverwaltung automatisieren | Manuell, deaktiviert | 1.1.0 |
Schulung zum Schutz von Authentifikatoren implementieren | CMA_0329 – Schulung zum Schutz von Authentifikatoren implementieren | Manuell, deaktiviert | 1.1.0 |
System- und Administratorkonten verwalten | CMA_0368 – System- und Administratorkonten verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff in der gesamten Organisation überwachen | CMA_0376 – Zugriff in der gesamten Organisation überwachen | Manuell, deaktiviert | 1.1.0 |
Benachrichtigen, wenn das Konto nicht benötigt wird | CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird | Manuell, deaktiviert | 1.1.0 |
10
Sicherstellen, dass Ressourcensperren für unternehmenskritische Azure-Ressourcen festgelegt sind
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 10.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
2.1
Sicherstellen, dass Microsoft Defender for Servers auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Microsoft Defender for Key Vault auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.10 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Microsoft Defender for DNS auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.11 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Veraltet]: Azure Defender für DNS muss aktiviert sein | Diese Richtliniendefinition ist nicht mehr geeignet, um ihre Ziele zu erreichen, da DNS-Bundle eingestellt wird. Statt diese Richtlinie weiter zu verwenden, sollten Sie diese Ersatzrichtlinie mit der Richtlinien-ID 4da35fc9-c9e7-4960-aec9-797fe7d9051d zuweisen. Erfahren Sie mehr über das Wegfallen von Richtliniendefinitionen unter aka.ms/policydefdeprecation | AuditIfNotExists, Disabled | 1.1.0-deprecated |
Sicherstellen, dass Microsoft Defender for Resource Manager auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.12 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass die Microsoft Defender-Empfehlung „Systemupdates anwenden“ den Status „Abgeschlossen“ aufweist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.13 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird | Um sicherzustellen, dass regelmäßige Bewertungen fehlender Systemupdates automatisch alle 24 Stunden ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf „AutomaticByPlatform“ festgelegt werden. Erfahren Sie mehr über die AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
Sicherstellen, dass keine der ASC-Standardrichtlinieneinstellungen auf „Deaktiviert“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.14 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Aktionen für nicht kompatible Geräte konfigurieren | CMA_0062 – Aktionen für nicht kompatible Geräte konfigurieren | Manuell, deaktiviert | 1.1.0 |
Basisplankonfigurationen entwickeln und verwalten | CMA_0153 – Basisplankonfigurationen entwickeln und verwalten | Manuell, deaktiviert | 1.1.0 |
Einstellungen für die Sicherheitskonfiguration erzwingen | CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen | Manuell, deaktiviert | 1.1.0 |
Konfigurationssteuerungsgremium einrichten | CMA_0254 – Konfigurationssteuerungsgremium einrichten | Manuell, deaktiviert | 1.1.0 |
Konfigurationsverwaltungsplan einrichten und dokumentieren | CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
Tool für die automatisierte Konfigurationsverwaltung implementieren | CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die automatische Bereitstellung des Log Analytics-Agents für Azure-VMs auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.15 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Security Operations dokumentieren | CMA_0202 – Security Operations dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sensoren für Endpunktsicherheitslösung aktivieren | CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die automatische Bereitstellung von Microsoft Defender for Containers-Komponenten auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.17 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Weitere E-Mail-Adressen“ mit einer E-Mail-Adresse für den Sicherheitskontakt konfiguriert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.19 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Sicherstellen, dass Microsoft Defender for App Services auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.2 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Benachrichtigung über Warnungen mit dem folgenden Schweregrad (oder höher)“ auf „Hoch“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.20 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.2.0 |
Sicherstellen, dass die Integration von Microsoft Defender for Cloud-Apps in Microsoft Defender for Cloud ausgewählt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.21 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die Integration von Microsoft Defender for Endpoint in Microsoft Defender for Cloud ausgewählt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.22 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Microsoft Defender for Databases auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.3 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender für relationale Open-Source-Datenbanken sollte aktiviert sein | Azure Defender für relationale Open-Source-Datenbanken erkennt anormale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Zugriffsversuche auf oder Exploits von Datenbanken hinweisen. Weitere Informationen zu den Funktionen von Azure Defender für relationale Open-Source-Datenbanken finden Sie unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Microsoft Defender für Azure Cosmos DB sollte aktiviert sein | Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Exploits Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass Microsoft Defender for Azure SQL Databases auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.4 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Microsoft Defender for SQL Servers on Machines auf „Ein“ festgelegt ist
ID CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.5 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Microsoft Defender for Open-Source Relational Databases auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.6 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für relationale Open-Source-Datenbanken sollte aktiviert sein | Azure Defender für relationale Open-Source-Datenbanken erkennt anormale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Zugriffsversuche auf oder Exploits von Datenbanken hinweisen. Weitere Informationen zu den Funktionen von Azure Defender für relationale Open-Source-Datenbanken finden Sie unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass Microsoft Defender for Storage auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.7 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Microsoft Defender for Containers auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.8 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Microsoft Defender for Azure Cosmos DB auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1.9 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Microsoft Defender für Azure Cosmos DB sollte aktiviert sein | Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Exploits Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | AuditIfNotExists, Disabled | 1.0.0 |
3
Sicherstellen, dass „Sichere Übertragung erforderlich“ aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.1 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
Sicherstellen, dass private Endpunkte für den Zugriff auf Speicherkonten verwendet werden
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.10 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Sicherstellen, dass der Speicher für wichtige Daten mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.12 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenleck-Verwaltungsprozedur einrichten | CMA_0255 – Datenleck-Verwaltungsprozedur einrichten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled | 1.0.3 |
Die Speicherprotokollierung muss für Lese-, Schreib- und Löschanforderungen für den Blob-Dienst aktiviert sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.13 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Azure-Überwachungsfunktionen konfigurieren | CMA_C1108: Azure-Überwachungsfunktionen konfigurieren | Manuell, deaktiviert | 1.1.1 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
Die Speicherprotokollierung muss für Lese-, Schreib- und Löschanforderungen an den Tabellendienst aktiviert sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.14 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Azure-Überwachungsfunktionen konfigurieren | CMA_C1108: Azure-Überwachungsfunktionen konfigurieren | Manuell, deaktiviert | 1.1.1 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die TLS-Mindestversion für Speicherkonten auf „Version 1.2“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.15 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Speicherkonten müssen die angegebene TLS-Mindestversion aufweisen | Konfigurieren Sie eine TLS-Mindestversion für die sichere Kommunikation zwischen der Clientanwendung und dem Speicherkonto. Um Sicherheitsrisiken zu minimieren, ist die empfohlene TLS-Mindestversion die neueste veröffentlichte Version, derzeit TLS 1.2. | Audit, Deny, Disabled | 1.0.0 |
Sicherstellen, dass „Infrastrukturverschlüsselung aktivieren“ für jedes Speicherkonto in Azure Storage auf „aktiviert“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.2 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen | Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
Sicherstellen, dass Zugriffsschlüssel für Speicherkonten regelmäßig neu generiert werden
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.4 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwaltungsprozess physischer Schlüssel definieren | CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren | Manuell, deaktiviert | 1.1.0 |
Kryptografische Verwendung definieren | CMA_0120 – Kryptografische Verwendung definieren | Manuell, deaktiviert | 1.1.0 |
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | Manuell, deaktiviert | 1.1.0 |
Assertionsanforderungen bestimmen | CMA_0136 – Assertionsanforderungen bestimmen | Manuell, deaktiviert | 1.1.0 |
Öffentliche Schlüsselzertifikate ausstellen | CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen | Manuell, deaktiviert | 1.1.0 |
Symmetrische kryptografische Schlüssel verwalten | CMA_0367 – Symmetrische kryptografische Schlüssel verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff auf private Schlüssel einschränken | CMA_0445 – Zugriff auf private Schlüssel einschränken | Manuell, deaktiviert | 1.1.0 |
Für Lese-, Schreib- und Löschanforderungen an den Warteschlangendienst muss die Speicherprotokollierung aktiviert sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.5 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Azure-Überwachungsfunktionen konfigurieren | CMA_C1108: Azure-Überwachungsfunktionen konfigurieren | Manuell, deaktiviert | 1.1.1 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
SAS-Token (Shared Access Signature) müssen innerhalb einer Stunde ablaufen.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.6 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Authentifikatoren bei Beendigung deaktivieren | CMA_0169 – Authentifikatoren bei Beendigung deaktivieren | Manuell, deaktiviert | 1.1.0 |
Privilegierte Rollen nach Bedarf widerrufen | CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen | Manuell, deaktiviert | 1.1.0 |
Benutzersitzung automatisch beenden | CMA_C1054 – Benutzersitzung automatisch beenden | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Öffentliche Zugriffsebene“ für Speicherkonten mit Blobcontainern deaktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.7 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.0-preview |
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Logischen Zugriff erzwingen | CMA_0245 – Logischen Zugriff erzwingen | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Genehmigung für Kontoerstellung anfordern | CMA_0431 – Genehmigung für Kontoerstellung anfordern | Manuell, deaktiviert | 1.1.0 |
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die Standard-Netzwerkzugriffsregel für Speicherkonten auf „Verweigern“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.8 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
Sicherstellen, dass „Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto erlauben“ für den Zugriff auf das Speicherkonto aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.9 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Informationsfluss steuern | CMA_0079 – Informationsfluss steuern | Manuell, deaktiviert | 1.1.0 |
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | Manuell, deaktiviert | 1.1.0 |
Firewall- und Routerkonfigurationsstandards einrichten | CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten | Manuell, deaktiviert | 1.1.0 |
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | Manuell, deaktiviert | 1.1.0 |
Downstream-Informationsaustausche identifizieren und verwalten | CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen | Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen. | Audit, Deny, Disabled | 1.0.0 |
4,1
Sicherstellen, dass „Überwachung“ auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.1 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Azure SQL-Datenbank-Instanzen keinen eingehenden Datenverkehr von 0.0.0.0/0 (beliebige IP-Adresse) zulassen
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.2 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Informationsfluss steuern | CMA_0079 – Informationsfluss steuern | Manuell, deaktiviert | 1.1.0 |
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | Manuell, deaktiviert | 1.1.0 |
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
Sicherstellen, dass die TDE-Schutzvorrichtung (Transparent Data Encryption) von SQL Server mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.3 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenleck-Verwaltungsprozedur einrichten | CMA_0255 – Datenleck-Verwaltungsprozedur einrichten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.0 |
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.1 |
Sicherstellen, dass Azure Active Directory Administrator für SQL Server konfiguriert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.4 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
Kontoverwaltung automatisieren | CMA_0026 – Kontoverwaltung automatisieren | Manuell, deaktiviert | 1.1.0 |
System- und Administratorkonten verwalten | CMA_0368 – System- und Administratorkonten verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff in der gesamten Organisation überwachen | CMA_0376 – Zugriff in der gesamten Organisation überwachen | Manuell, deaktiviert | 1.1.0 |
Benachrichtigen, wenn das Konto nicht benötigt wird | CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Datenverschlüsselung“ für eine SQL-Datenbank auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.5 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenleck-Verwaltungsprozedur einrichten | CMA_0255 – Datenleck-Verwaltungsprozedur einrichten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
Sicherstellen, dass die Aufbewahrungsdauer für die Überwachung auf über 90 Tage festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.6 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Festgelegte Aufbewahrungszeiträume einhalten | CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten | Manuell, deaktiviert | 1.1.0 |
Überwachungsverarbeitungsaktivitäten steuern und überwachen | CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrichtlinien und -verfahren beibehalten | CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten | Manuell, deaktiviert | 1.1.0 |
Daten von gekündigten Benutzern aufbewahren | CMA_0455 – Daten von gekündigten Benutzern aufbewahren | Manuell, deaktiviert | 1.1.0 |
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 3.0.0 |
4,2
Sicherstellen, dass Microsoft Defender for SQL für kritische SQL Server-Instanzen auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.1 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.2 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass die Einstellung „Regelmäßig wiederkehrende Überprüfungen“ der Sicherheitsrisikobewertung für jede SQL Server-Instanz auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.3 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
Sicherstellen, dass die Einstellung „Überprüfungsberichte senden an“ der Sicherheitsrisikobewertung für eine SQL Server-Instanz konfiguriert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.4 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren | CMA_C1558: Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren | Manuell, deaktiviert | 1.1.1 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass die Einstellung „E-Mail-Benachrichtigungen auch an Administratoren und Abonnementbesitzer senden“ der Sicherheitsrisikobewertung für jede SQL Server-Instanz festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.5 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren | CMA_C1558: Informationen zur Überprüfung auf Sicherheitsrisiken korrelieren | Manuell, deaktiviert | 1.1.1 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
4.3
Sicherstellen, dass „SSL-Verbindung erzwingen“ für den PostgreSQL-Datenbankserver auf „AKTIVIERT“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.1 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass der Serverparameter „log_checkpoints“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.2 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Protokollprüfpunkte für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_checkpoints-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass der Serverparameter „log_connections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.3 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Protokollverbindungen für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_connections-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass der Serverparameter „log_disconnections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.4 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Verbindungstrennungen für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_disconnections-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass der Serverparameter „connection_throttling“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.5 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Die Verbindungsdrosselung muss für PostgreSQL-Datenbankserver aktiviert sein | Mit dieser Richtlinie können Sie überwachen, ob für alle PostgreSQL-Datenbanken in Ihrer Umgebung die Verbindungsdrosselung aktiviert ist. Diese Einstellung aktiviert die temporäre Verbindungsdrosselung pro IP-Adresse bei zu vielen Anmeldefehlern aufgrund ungültiger Kennwörter. | AuditIfNotExists, Disabled | 1.0.0 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass der Serverparameter „log_retention_days“ für PostgreSQL Database Server auf einen höheren Wert als 3 Tage festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.6 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Festgelegte Aufbewahrungszeiträume einhalten | CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten | Manuell, deaktiviert | 1.1.0 |
Überwachungsverarbeitungsaktivitäten steuern und überwachen | CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrichtlinien und -verfahren beibehalten | CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten | Manuell, deaktiviert | 1.1.0 |
Daten von gekündigten Benutzern aufbewahren | CMA_0455 – Daten von gekündigten Benutzern aufbewahren | Manuell, deaktiviert | 1.1.0 |
„Zugriff auf Azure-Dienste zulassen“ für den PostgreSQL-Datenbankserver muss deaktiviert sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.7 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Informationsfluss steuern | CMA_0079 – Informationsfluss steuern | Manuell, deaktiviert | 1.1.0 |
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | Manuell, deaktiviert | 1.1.0 |
Firewall- und Routerkonfigurationsstandards einrichten | CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten | Manuell, deaktiviert | 1.1.0 |
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | Manuell, deaktiviert | 1.1.0 |
Downstream-Informationsaustausche identifizieren und verwalten | CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff über öffentliche Netzwerke muss für flexible PostgreSQL-Server deaktiviert sein | Das Deaktivieren der Eigenschaft für öffentlichen Netzwerkzugriff verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre flexiblen Azure Database for PostgreSQL-Server nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 3.1.0 |
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 2.0.1 |
Sicherstellen, dass die doppelte Infrastrukturverschlüsselung für den PostgreSQL-Datenbankserver auf „Aktiviert“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.8 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenleck-Verwaltungsprozedur einrichten | CMA_0255 – Datenleck-Verwaltungsprozedur einrichten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Infrastrukturverschlüsselung muss für Azure Database for PostgreSQL-Server aktiviert sein | Aktivieren Sie die Infrastrukturverschlüsselung für Azure Database for PostgreSQL-Server, um die Sicherheit der Daten zu erhöhen. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden die ruhenden Daten doppelt mithilfe FIPS 140-2-konformer Schlüssel verschlüsselt, die von Microsoft verwaltet werden. | Audit, Deny, Disabled | 1.0.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
4.4
Sicherstellen, dass „SSL-Verbindung erzwingen“ für den MySQL-Standarddatenbankserver auf „Aktiviert“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.4.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „TLS-Version“ für den flexiblen MySQL-Datenbankserver auf „TLSV1.2“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.4.2 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
4.5
Sicherstellen, dass „Firewall und Netzwerke“ auf die Verwendung ausgewählter Netzwerke anstatt aller Netzwerke beschränkt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.5.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. | Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Audit, Deny, Disabled | 2.1.0 |
Sicherstellen, dass private Endpunkte verwendet werden, wo immer möglich
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.5.2 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
Verwenden von Azure Active Directory-Clientauthentifizierung (AAD) und Azure RBAC, sofern möglich
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.5.3 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für Cosmos DB-Datenbankkonten sollten lokale Authentifizierungsmethoden deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Cosmos DB-Datenbankkonten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
5.1
Sicherstellen, dass eine Diagnoseeinstellung vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.1 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Die Diagnoseeinstellung muss geeignete Kategorien erfassen.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.2 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 3.0.0 |
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Azure-Überwachungsfunktionen konfigurieren | CMA_C1108: Azure-Überwachungsfunktionen konfigurieren | Manuell, deaktiviert | 1.1.1 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass der Speichercontainer, in dem die Aktivitätsprotokolle gespeichert sind, nicht öffentlich zugänglich ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.3 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.0-preview |
Duale oder gemeinsame Autorisierung aktivieren | CMA_0226 – Duale oder gemeinsame Autorisierung aktivieren | Manuell, deaktiviert | 1.1.0 |
Überwachungsinformationen schützen | CMA_0401 – Überwachungsinformationen schützen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit einem kundenseitig verwalteten Schlüssel (Customer Managed Key, CMK) verschlüsselt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.4 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Duale oder gemeinsame Autorisierung aktivieren | CMA_0226 – Duale oder gemeinsame Autorisierung aktivieren | Manuell, deaktiviert | 1.1.0 |
Integrität des Überwachungssystems beibehalten | CMA_C1133 – Integrität des Überwachungssystems beibehalten | Manuell, deaktiviert | 1.1.0 |
Überwachungsinformationen schützen | CMA_0401 – Überwachungsinformationen schützen | Manuell, deaktiviert | 1.1.0 |
Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein | Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur Azure Storage-Verschlüsselung im Ruhezustand finden Sie unter https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass die Protokollierung für Azure Key Vault aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.5 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
Stellen Sie sicher, dass Datenflussprotokolle für Netzwerksicherheitsgruppen erfasst und an Log Analytics gesendet werden.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.6 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Alle Datenflussprotokollressourcen sollten aktiviert sein | Hiermit werden Datenflussprotokollressourcen überwacht, um zu überprüfen, ob der Datenflussprotokollstatus aktiviert ist. Durch Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, Disabled | 1.0.1 |
Konfiguration für Datenflussprotokolle für jedes virtuelle Netzwerk konfigurieren | Hiermit werden virtuelle Netzwerke überwacht, um sicherzustellen, dass Datenflussprotokolle konfiguriert sind. Durch Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch das virtuelle Netzwerk fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, Disabled | 1.0.1 |
Für jede Netzwerksicherheitsgruppe müssen Datenflussprotokolle konfiguriert sein | Hiermit werden Netzwerksicherheitsgruppen überwacht, um sicherzustellen, dass Datenflussprotokolle konfiguriert sind. Durch die Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch die Netzwerksicherheitsgruppe fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, Disabled | 1.1.0 |
5,2
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Richtlinienzuweisung erstellen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.1 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 3.0.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Richtlinienzuweisung löschen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.2 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 3.0.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe erstellen oder aktualisieren“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.3 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe löschen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.4 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Sicherheitslösung erstellen oder aktualisieren“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.5 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Sicherheitslösung löschen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.6 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „SQL Server-Firewallregel erstellen oder aktualisieren“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.7 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „SQL Server-Firewallregel löschen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.8 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Personal bzgl. Informationslecks warnen | CMA_0007 – Personal bzgl. Informationslecks warnen | Manuell, deaktiviert | 1.1.0 |
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
5
Sicherstellen, dass die Azure Monitor-Ressourcenprotokollierung für alle Dienste aktiviert ist, die sie unterstützen
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.4 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Festgelegte Aufbewahrungszeiträume einhalten | CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten | Manuell, deaktiviert | 1.1.0 |
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Azure-Überwachungsfunktionen konfigurieren | CMA_C1108: Azure-Überwachungsfunktionen konfigurieren | Manuell, deaktiviert | 1.1.1 |
Überwachbare Ereignisse bestimmen | CMA_0137 – Überwachbare Ereignisse bestimmen | Manuell, deaktiviert | 1.1.0 |
Überwachungsverarbeitungsaktivitäten steuern und überwachen | CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen | Manuell, deaktiviert | 1.1.0 |
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 3.1.0 |
In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Sicherheitsrichtlinien und -verfahren beibehalten | CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten | Manuell, deaktiviert | 1.1.0 |
Daten von gekündigten Benutzern aufbewahren | CMA_0455 – Daten von gekündigten Benutzern aufbewahren | Manuell, deaktiviert | 1.1.0 |
Überwachungsdaten überprüfen | CMA_0466 – Überwachungsdaten überprüfen | Manuell, deaktiviert | 1.1.0 |
6
Sicherstellen, dass der RDP-Zugriff aus dem Internet bewertet und eingeschränkt wird
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass der SSH-Zugriff aus dem Internet bewertet und eingeschränkt wird
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.2 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
Für Datenflussprotokolle der Netzwerksicherheitsgruppen muss die Aufbewahrungsdauer auf „mehr als 90 Tage“ festgelegt sein.
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.5 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Festgelegte Aufbewahrungszeiträume einhalten | CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrichtlinien und -verfahren beibehalten | CMA_0454 – Sicherheitsrichtlinien und -verfahren beibehalten | Manuell, deaktiviert | 1.1.0 |
Daten von gekündigten Benutzern aufbewahren | CMA_0455 – Daten von gekündigten Benutzern aufbewahren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Network Watcher aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.6 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherheitsfunktionen bestätigen | CMA_C1708 – Sicherheitsfunktionen bestätigen | Manuell, deaktiviert | 1.1.0 |
7
Sicherstellen, dass Virtual Machines Managed Disks verwendet
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.2 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | Überwachung | 1.0.0 |
Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Betriebssystem- und Datenträger mit kundenseitig verwaltetem Schlüssel (Customer Managed Key, CMK) verschlüsselt sind
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.3 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenleck-Verwaltungsprozedur einrichten | CMA_0255 – Datenleck-Verwaltungsprozedur einrichten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „nicht angefügte Datenträger“ mit einem kundenseitig verwalteten Schlüssel verschlüsselt sind
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.4 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenleck-Verwaltungsprozedur einrichten | CMA_0255 – Datenleck-Verwaltungsprozedur einrichten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass nur genehmigte Erweiterungen installiert werden
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.5 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Es dürfen nur genehmigte VM-Erweiterungen installiert werden | Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. | Audit, Deny, Disabled | 1.0.0 |
Sicherstellen, dass Endpoint Protection für alle virtuellen Computer installiert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.6 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Security Operations dokumentieren | CMA_0202 – Security Operations dokumentieren | Manuell, deaktiviert | 1.1.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Sensoren für Endpunktsicherheitslösung aktivieren | CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren | Manuell, deaktiviert | 1.1.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Software-, Firmware- und Informationsintegrität bestätigen | CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen | Manuell, deaktiviert | 1.1.0 |
[Legacy] Sicherstellen, dass VHDs verschlüsselt sind
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.7 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenleck-Verwaltungsprozedur einrichten | CMA_0255 – Datenleck-Verwaltungsprozedur einrichten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
8
Sicherstellen, dass das Ablaufdatum für alle Schlüssel in Key Vault-Instanzen mit RBAC festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.1 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwaltungsprozess physischer Schlüssel definieren | CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren | Manuell, deaktiviert | 1.1.0 |
Kryptografische Verwendung definieren | CMA_0120 – Kryptografische Verwendung definieren | Manuell, deaktiviert | 1.1.0 |
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | Manuell, deaktiviert | 1.1.0 |
Assertionsanforderungen bestimmen | CMA_0136 – Assertionsanforderungen bestimmen | Manuell, deaktiviert | 1.1.0 |
Öffentliche Schlüsselzertifikate ausstellen | CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen | Manuell, deaktiviert | 1.1.0 |
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. | Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
Symmetrische kryptografische Schlüssel verwalten | CMA_0367 – Symmetrische kryptografische Schlüssel verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff auf private Schlüssel einschränken | CMA_0445 – Zugriff auf private Schlüssel einschränken | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass das Ablaufdatum für alle Schlüssel in Key Vault-Instanzen ohne RBAC festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.2 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwaltungsprozess physischer Schlüssel definieren | CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren | Manuell, deaktiviert | 1.1.0 |
Kryptografische Verwendung definieren | CMA_0120 – Kryptografische Verwendung definieren | Manuell, deaktiviert | 1.1.0 |
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | Manuell, deaktiviert | 1.1.0 |
Assertionsanforderungen bestimmen | CMA_0136 – Assertionsanforderungen bestimmen | Manuell, deaktiviert | 1.1.0 |
Öffentliche Schlüsselzertifikate ausstellen | CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen | Manuell, deaktiviert | 1.1.0 |
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. | Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
Symmetrische kryptografische Schlüssel verwalten | CMA_0367 – Symmetrische kryptografische Schlüssel verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff auf private Schlüssel einschränken | CMA_0445 – Zugriff auf private Schlüssel einschränken | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass das Ablaufdatum für alle Geheimnisse in Key Vault-Instanzen mit RBAC festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.3 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwaltungsprozess physischer Schlüssel definieren | CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren | Manuell, deaktiviert | 1.1.0 |
Kryptografische Verwendung definieren | CMA_0120 – Kryptografische Verwendung definieren | Manuell, deaktiviert | 1.1.0 |
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | Manuell, deaktiviert | 1.1.0 |
Assertionsanforderungen bestimmen | CMA_0136 – Assertionsanforderungen bestimmen | Manuell, deaktiviert | 1.1.0 |
Öffentliche Schlüsselzertifikate ausstellen | CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen | Manuell, deaktiviert | 1.1.0 |
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. | Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
Symmetrische kryptografische Schlüssel verwalten | CMA_0367 – Symmetrische kryptografische Schlüssel verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff auf private Schlüssel einschränken | CMA_0445 – Zugriff auf private Schlüssel einschränken | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass das Ablaufdatum für alle Geheimnisse in Key Vault-Instanzen ohne RBAC festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.4 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwaltungsprozess physischer Schlüssel definieren | CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren | Manuell, deaktiviert | 1.1.0 |
Kryptografische Verwendung definieren | CMA_0120 – Kryptografische Verwendung definieren | Manuell, deaktiviert | 1.1.0 |
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | Manuell, deaktiviert | 1.1.0 |
Assertionsanforderungen bestimmen | CMA_0136 – Assertionsanforderungen bestimmen | Manuell, deaktiviert | 1.1.0 |
Öffentliche Schlüsselzertifikate ausstellen | CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen | Manuell, deaktiviert | 1.1.0 |
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. | Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
Symmetrische kryptografische Schlüssel verwalten | CMA_0367 – Symmetrische kryptografische Schlüssel verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff auf private Schlüssel einschränken | CMA_0445 – Zugriff auf private Schlüssel einschränken | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass der Schlüsseltresor wiederhergestellt werden kann
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.5 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Audit, Deny, Disabled | 2.1.0 |
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. | Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. | Audit, Deny, Disabled | 3.0.0 |
Aktivieren der rollenbasierten Zugriffssteuerung für Azure Key Vault
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.6 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Key Vault sollte das RBAC-Berechtigungsmodell verwenden. | Aktivieren Sie das RBAC-Berechtigungsmodell in Schlüsseltresoren. Weitere Informationen finden Sie unter: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
Sicherstellen, dass private Endpunkte für Azure Key Vault verwendet werden
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.7 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Sicherstellen, dass die automatische Schlüsselrotation in Azure Key Vault für die unterstützten Dienste aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.8 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Schlüssel sollten eine Rotationsrichtlinie haben, die sicherstellt, dass ihre Rotation innerhalb der angegebenen Anzahl von Tagen nach der Erstellung geplant ist. | Verwalten Sie Ihre organisatorischen Complianceanforderungen, indem Sie die maximale Anzahl von Tagen nach der Schlüsselerstellung festlegen, bis der Schlüssel rotiert werden muss. | Audit, Disabled | 1.0.0 |
9
Sicherstellen, dass App Service-Authentifizierung für Apps in Azure App Service eingerichtet ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für App Service-Apps sollte die Authentifizierung aktiviert sein | Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Web-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Web-App erreichen. | AuditIfNotExists, Disabled | 2.0.1 |
Beim kryptografischen Modul authentifizieren | CMA_0021 – Beim kryptografischen Modul authentifizieren | Manuell, deaktiviert | 1.1.0 |
Benutzereindeutigkeit erzwingen | CMA_0250 – Benutzereindeutigkeit erzwingen | Manuell, deaktiviert | 1.1.0 |
Für Funktions-Apps sollte die Authentifizierung aktiviert sein | Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Funktions-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Funktions-App erreichen. | AuditIfNotExists, Disabled | 3.0.0 |
Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen | CMA_0507 – Anmeldeinformationen für persönliche Überprüfung durch gesetzliche Behörden unterstützen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass FTP-Bereitstellungen deaktiviert sind
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.10 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass Azure-Schlüsseltresore zum Speichern von Geheimnissen verwendet werden
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.11 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwaltungsprozess physischer Schlüssel definieren | CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren | Manuell, deaktiviert | 1.1.0 |
Kryptografische Verwendung definieren | CMA_0120 – Kryptografische Verwendung definieren | Manuell, deaktiviert | 1.1.0 |
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | Manuell, deaktiviert | 1.1.0 |
Assertionsanforderungen bestimmen | CMA_0136 – Assertionsanforderungen bestimmen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass kryptografische Mechanismen unter Konfigurationsverwaltung stehen | CMA_C1199 – Sicherstellen, dass kryptografische Mechanismen unter Konfigurationsverwaltung stehen | Manuell, deaktiviert | 1.1.0 |
Öffentliche Schlüsselzertifikate ausstellen | CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen | Manuell, deaktiviert | 1.1.0 |
Verfügbarkeit von Informationen beibehalten | CMA_C1644 – Verfügbarkeit von Informationen beibehalten | Manuell, deaktiviert | 1.1.0 |
Symmetrische kryptografische Schlüssel verwalten | CMA_0367 – Symmetrische kryptografische Schlüssel verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff auf private Schlüssel einschränken | CMA_0445 – Zugriff auf private Schlüssel einschränken | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die Web-App den gesamten HTTP-Datenverkehr in Azure App Service an HTTPS umleitet
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.2 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die Web-App die neueste Version der TLS-Verschlüsselung verwendet
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.3 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Clientzertifikate (eingehende Clientzertifikate)“ für die Web-App auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.4 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Veraltet]: App Service-Anwendungen sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. | Audit, Disabled | 3.1.0-deprecated |
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. | Audit, Disabled | 3.1.0-deprecated |
Beim kryptografischen Modul authentifizieren | CMA_0021 – Beim kryptografischen Modul authentifizieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass „Registrierung bei Azure Active Directory“ für App Service aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.5 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
Kontoverwaltung automatisieren | CMA_0026 – Kontoverwaltung automatisieren | Manuell, deaktiviert | 1.1.0 |
Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
System- und Administratorkonten verwalten | CMA_0368 – System- und Administratorkonten verwalten | Manuell, deaktiviert | 1.1.0 |
Zugriff in der gesamten Organisation überwachen | CMA_0376 – Zugriff in der gesamten Organisation überwachen | Manuell, deaktiviert | 1.1.0 |
Benachrichtigen, wenn das Konto nicht benötigt wird | CMA_0383 – Benachrichtigen, wenn das Konto nicht benötigt wird | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die neueste PHP-Version angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.6 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-App-Slots, die PHP verwenden, sollten die angegebene ‚PHP-Version‘ verwenden | Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
App Service-Apps, die PHP verwenden, sollten die angegebene „PHP-Version“ verwenden | Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 3.2.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die neueste stabile Python-Version angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.7 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-App-Slots, die Python verwenden, sollten die angegebene ‚Python-Version‘ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
App Service-App, die Python verwenden, sollten die angegebene „Python-Version“ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 4.1.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die neueste Java-Version angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.8 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Funktions-App-Slots, die Java verwenden, sollten die angegebene ‚Java-Version‘ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
Funktions-Apps, die Java verwenden, sollten die angegebene „Java-Version“ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 3.1.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Sicherstellen, dass die neueste HTTP-Version angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.9 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
Funktions-Apps sollten die neueste 'HTTP Version' verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Nächste Schritte
Weitere Artikel über Azure Policy:
- Übersicht über die Einhaltung gesetzlicher Bestimmungen.
- Weitere Informationen finden Sie unter Struktur der Initiativendefinition.
- Sehen Sie sich weitere Beispiele unter Azure Policy-Beispiele an.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.