Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government)
Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark 1.3.0. Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.
Die folgenden Zuordnungen gelten für die Steuerungen gemäß CIS Microsoft Azure Foundations Benchmark 1.3.0. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend die integrierte Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.3.0, und wählen Sie sie aus.
Wichtig
Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.
1 Identitäts- und Zugriffsverwaltung
Sicherstellen, dass die mehrstufige Authentifizierung für alle privilegierten Benutzer aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass die mehrstufige Authentifizierung für alle nicht privilegierten Benutzer aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.2 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass Gastbenutzer monatlich überprüft werden
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 1.3 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
2 Security Center
Sicherstellen, dass Azure Defender für Storage auf EIN festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.1 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
Sicherstellen, dass „Weitere E-Mail-Adressen“ mit einer E-Mail-Adresse für den Sicherheitskontakt konfiguriert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.13 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Sicherstellen, dass „Notify about alerts with the following severity“ (Benachrichtigung bei Warnungen mit dem folgenden Schweregrad) auf „Hoch“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.14 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Sicherstellen, dass Azure Defender für Azure SQL-Datenbank-Server auf EIN festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.3 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Sicherstellen, dass Azure Defender für Storage auf EIN festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.5 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
Sicherstellen, dass Azure Defender für Kubernetes auf EIN festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.6 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass Azure Defender für Containerregistrierungen auf EIN festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 2.7 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
3 Speicherkonten
Sicherstellen, dass „Sichere Übertragung erforderlich“ aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.1 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
Sicherstellen, dass die Standard-Netzwerkzugriffsregel für Speicherkonten auf „Verweigern“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.6 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
Sicherstellen, dass „Vertrauenswürdige Microsoft-Dienste“ für den Speicherkontozugriff aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.7 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen | Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen. | Audit, Deny, Disabled | 1.0.0 |
Sicherstellen, dass der Speicher für wichtige Daten mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 3.9 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled | 1.0.3 |
4 Datenbankdienste
Sicherstellen, dass „Überwachung“ auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.1 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
Sicherstellen, dass „Datenverschlüsselung“ für eine SQL-Datenbank auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.2 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
Sicherstellen, dass die Aufbewahrungsdauer für die Überwachung auf über 90 Tage festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.1.3 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass Advanced Threat Detection (ATP) für eine SQL Server-Instanz auf „Aktiviert“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.1 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Sicherstellen, dass die Sicherheitsrisikobewertung für eine SQL Server-Instanz durch Festlegen eines Speicherkontos aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.2.2 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass „SSL-Verbindung erzwingen“ für den PostgreSQL-Datenbankserver auf „AKTIVIERT“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.1 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Sicherstellen, dass „SSL-Verbindung erzwingen“ für den MySQL-Datenbankserver auf „AKTIVIERT“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.2 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Sicherstellen, dass der Serverparameter „log_checkpoints“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.3 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Protokollprüfpunkte für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_checkpoints-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass der Serverparameter „log_connections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.4 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Protokollverbindungen für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_connections-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass der Serverparameter „log_disconnections“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.5 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verbindungstrennungen für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_disconnections-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass der Serverparameter „connection_throttling“ für den PostgreSQL-Datenbankserver auf „EIN“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.3.6 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Die Verbindungsdrosselung muss für PostgreSQL-Datenbankserver aktiviert sein | Mit dieser Richtlinie können Sie überwachen, ob für alle PostgreSQL-Datenbanken in Ihrer Umgebung die Verbindungsdrosselung aktiviert ist. Diese Einstellung aktiviert die temporäre Verbindungsdrosselung pro IP-Adresse bei zu vielen Anmeldefehlern aufgrund ungültiger Kennwörter. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass der Azure Active Directory-Administrator konfiguriert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.4 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass die TDE-Schutzvorrichtung der SQL Server-Instanz mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 4.5 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.0 |
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.1 |
5 Protokollierung und Überwachung
Sicherstellen, dass das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, per BYOK (Bring Your Own Key) verschlüsselt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.4 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein | Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur Azure Storage-Verschlüsselung im Ruhezustand finden Sie unter https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass die Protokollierung für Azure Key Vault aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.1.5 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Richtlinienzuweisung erstellen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.1 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Richtlinienzuweisung löschen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.2 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe erstellen oder aktualisieren“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.3 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Netzwerksicherheitsgruppe löschen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.4 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für die Regel „Netzwerksicherheitsgruppe erstellen oder aktualisieren“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.5 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für die Regel „Netzwerksicherheitsgruppe löschen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.6 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Sicherheitslösung erstellen oder aktualisieren“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.7 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „Sicherheitslösung löschen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.8 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass eine Aktivitätsprotokollwarnung für „SQL Server-Firewallregel erstellen oder aktualisieren bzw. löschen“ vorhanden ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.2.9 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass Diagnoseprotokolle für alle Dienste aktiviert sind, die sie unterstützen
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 5.3 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
6 Netzwerk
Sicherstellen, dass Network Watcher aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 6.5 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
7 Virtuelle Computer
Sicherstellen, dass Virtual Machines Managed Disks verwendet
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | Überwachung | 1.0.0 |
Sicherstellen, dass nur genehmigte Erweiterungen installiert werden
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 7.4 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Es dürfen nur genehmigte VM-Erweiterungen installiert werden | Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. | Audit, Deny, Disabled | 1.0.0 |
8 Weitere Überlegungen zur Sicherheit
Sicherstellen, dass der Schlüsseltresor wiederhergestellt werden kann
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.4 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Audit, Deny, Disabled | 2.1.0 |
Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 8.5 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. | Audit, Disabled | 1.0.4 |
9 AppService
Sicherstellen, dass die App Service-Authentifizierung für Azure App Service festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.1 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für App Service-Apps sollte die Authentifizierung aktiviert sein | Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Web-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Web-App erreichen. | AuditIfNotExists, Disabled | 2.0.1 |
Für Funktions-Apps sollte die Authentifizierung aktiviert sein | Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Funktions-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Funktions-App erreichen. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass FTP-Bereitstellungen deaktiviert sind
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.10 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass die Web-App den gesamten HTTP-Datenverkehr in Azure App Service an HTTPS umleitet
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.2 Eigentum: Shared
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
Sicherstellen, dass die Web-App die neueste Version der TLS-Verschlüsselung verwendet
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.3 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
Sicherstellen, dass „Clientzertifikate (eingehende Clientzertifikate)“ für die Web-App auf „Ein“ festgelegt ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.4 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. | Audit, Disabled | 3.1.0-deprecated |
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherstellen, dass „Registrierung bei Azure Active Directory“ für App Service aktiviert ist
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.5 Zuständigkeit: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
Sicherstellen, dass die neueste „HTTP-Version“ angegeben ist, wenn sie zum Ausführen der Web-App verwendet wird
ID: CIS Microsoft Azure Foundations Benchmark-Empfehlung 9.9 Eigentum: Gemeinsam
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
App Service-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
Funktions-Apps sollten die neueste 'HTTP Version' verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
Nächste Schritte
Weitere Artikel über Azure Policy:
- Übersicht über die Einhaltung gesetzlicher Bestimmungen.
- Weitere Informationen finden Sie unter Struktur der Initiativendefinition.
- Sehen Sie sich weitere Beispiele unter Azure Policy-Beispiele an.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.