Details zur integrierten Initiative zur Einhaltung gesetzlicher Bestimmungen für IRS 1075 September 2016 (Azure Government)
Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in IRS 1075 September 2016 (Azure Government) entspricht. Weitere Informationen zu diesem Compliancestandard finden Sie unter IRS 1075, September 2016. Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.
Die folgenden Zuordnungen gelten für die Steuerungen gemäß IRS 1075, September 2016. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der integrierten Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen für IRS 1075, September 2016, und wählen Sie sie aus.
Wichtig
Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.
Zugriffssteuerung
Remotezugriff (AC-17)
ID: IRS 1075 9.3.1.12
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Disabled | 1.4.0 |
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
Kontoverwaltung (AC-2)
ID: IRS 1075 9.3.1.2
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Erzwingung des Datenflusses (AC-4)
ID: IRS 1075 9.3.1.4
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
Aufgabentrennung (AC-5)
ID: IRS 1075 9.3.1.5
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. | auditIfNotExists | 1.0.0 |
Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. | auditIfNotExists | 1.0.0 |
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Ansatz der geringsten Rechte (AC-6)
ID: IRS 1075 9.3.1.6
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. | auditIfNotExists | 1.0.0 |
Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. | auditIfNotExists | 1.0.0 |
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Risikobewertung
Überprüfung auf Sicherheitsrisiken (RA-5)
ID: IRS 1075 9.3.14.3
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
System- und Kommunikationsschutz
Schutz von ruhenden Informationen (SC-28)
ID: IRS 1075 9.3.16.15
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
Schutz vor Denial-of-Service-Angriffen (SC-5)
ID: IRS 1075 9.3.16.4
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure DDoS Protection sollte aktiviert sein. | DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. | AuditIfNotExists, Disabled | 3.0.1 |
Schutz von Grenzen (SC-7)
ID: IRS 1075 9.3.16.5
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
Vertraulichkeit und Integrität von übertragenen Informationen (SC-8)
ID: IRS 1075 9.3.16.6
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Zugriff auf Funktionsanwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 3.0.1 |
System- und Informationsintegrität
Fehlerbehebung (SI-2)
ID: IRS 1075 9.3.17.2
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
Überwachung des Informationssystems (SI-4)
ID: IRS 1075 9.3.17.4
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | Meldet virtuelle Computer als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1-preview |
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein | Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und der Agent nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1 |
Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | Meldet Virtual Machines als nicht konform, wenn sie keine Protokolle an den Log Analytics-Arbeitsbereich senden, der in der Richtlinien-/Initiativenzuweisung angegeben ist. | AuditIfNotExists, Disabled | 1.1.0 |
Bewusstsein und Training
Generierung von Überwachungsdatensätzen (AU-12)
ID: IRS 1075 9.3.3.11
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | Meldet virtuelle Computer als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1-preview |
Hiermit wird die Diagnoseeinstellung für ausgewählte Ressourcentypen überwacht. | Überwachen der Diagnoseeinstellung für ausgewählte Ressourcentypen. Achten Sie darauf, nur Ressourcentypen auszuwählen, die Diagnoseeinstellungen unterstützen. | Auswirkung „AuditIfNotExists“ | 2.0.1 |
Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein | Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und der Agent nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1 |
Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | Meldet Virtual Machines als nicht konform, wenn sie keine Protokolle an den Log Analytics-Arbeitsbereich senden, der in der Richtlinien-/Initiativenzuweisung angegeben ist. | AuditIfNotExists, Disabled | 1.1.0 |
Inhalt der Überwachungsdatensätze (AU-3)
ID: IRS 1075 9.3.3.3
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | Meldet virtuelle Computer als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1-preview |
Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein | Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und der Agent nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1 |
Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | Meldet Virtual Machines als nicht konform, wenn sie keine Protokolle an den Log Analytics-Arbeitsbereich senden, der in der Richtlinien-/Initiativenzuweisung angegeben ist. | AuditIfNotExists, Disabled | 1.1.0 |
Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen (AU-5)
ID: IRS 1075 9.3.3.5
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Hiermit wird die Diagnoseeinstellung für ausgewählte Ressourcentypen überwacht. | Überwachen der Diagnoseeinstellung für ausgewählte Ressourcentypen. Achten Sie darauf, nur Ressourcentypen auszuwählen, die Diagnoseeinstellungen unterstützen. | Auswirkung „AuditIfNotExists“ | 2.0.1 |
Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung (AU-6)
ID: IRS 1075 9.3.3.6
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | Meldet virtuelle Computer als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1-preview |
Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein | Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und der Agent nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1 |
Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | Meldet Virtual Machines als nicht konform, wenn sie keine Protokolle an den Log Analytics-Arbeitsbereich senden, der in der Richtlinien-/Initiativenzuweisung angegeben ist. | AuditIfNotExists, Disabled | 1.1.0 |
Notfallplanung
Alternativer Verarbeitungsstandort (CP-7)
ID: IRS 1075 9.3.6.6
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Identifizierung und Authentifizierung
Identifikation und Authentifizierung (Organisationsbenutzer) (IA-2)
ID: IRS 1075 9.3.7.2
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Authentifikatorverwaltung (IA-5)
ID: IRS 1075 9.3.7.5
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Disabled | 1.4.0 |
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. | AuditIfNotExists, Disabled | 1.4.0 |
Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. | AuditIfNotExists, Disabled | 1.1.0 |
Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. | AuditIfNotExists, Disabled | 1.1.0 |
Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. | AuditIfNotExists, Disabled | 1.1.0 |
Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen | AuditIfNotExists, Disabled | 1.1.0 |
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 1.0.0 |
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Nächste Schritte
Weitere Artikel über Azure Policy:
- Übersicht über die Einhaltung gesetzlicher Bestimmungen.
- Weitere Informationen finden Sie unter Struktur der Initiativendefinition.
- Sehen Sie sich weitere Beispiele unter Azure Policy-Beispiele an.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.