Details zur integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2 (System and Organization Controls)“ (Azure Government)
Im folgenden Artikel wird erläutert, wie die Definition der integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für Azure Policy“ den Compliancebereichen und Kontrollen in SOC 2 (System and Organization Controls) (Azure Government) zugeordnet ist. Weitere Informationen zu diesem Compliancestandard finden Sie unter SOC 2 (System and Organization Controls). Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.
Die folgenden Zuordnungen beziehen sich auf die Kontrollen von SOC 2 (System and Organization Controls). Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der Definition der integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2, Typ 2“ und wählen Sie sie aus.
Wichtig
Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.
Zusätzliche Kriterien für die Verfügbarkeit
Kapazitätsverwaltung
ID: SOC 2, Typ 2 A1.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Kapazitätsplanung durchführen | CMA_C1252 – Kapazitätsplanung durchführen | Manuell, deaktiviert | 1.1.0 |
Schutz der Umgebung, Software, Datensicherungsprozesse und Wiederherstellungsinfrastruktur
ID: SOC 2, Typ 2 A1.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Automatische Notbeleuchtung verwenden | CMA_0209 – Automatische Notbeleuchtung verwenden | Manuell, deaktiviert | 1.1.0 |
Alternativen Verarbeitungsstandort einrichten | CMA_0262 – Alternativen Verarbeitungsstandort einrichten | Manuell, deaktiviert | 1.1.0 |
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Implementieren einer Penetrationstestmethodik | CMA_0306: Implementieren einer Penetrationstestmethodik | Manuell, deaktiviert | 1.1.0 |
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Alarmsystem installieren | CMA_0338 – Alarmsystem installieren | Manuell, deaktiviert | 1.1.0 |
Ressourcen nach einer Unterbrechung wiederherstellen und neu konfigurieren | CMA_C1295: Ressourcen nach einer Unterbrechung wiederherstellen und neu konfigurieren | Manuell, deaktiviert | 1.1.1 |
Simulationsangriffe ausführen | CMA_0486: Ausführen von Simulationsangriffen | Manuell, deaktiviert | 1.1.0 |
Sicherungsinformationen separat speichern | CMA_C1293 – Sicherungsinformationen separat speichern | Manuell, deaktiviert | 1.1.0 |
Sicherungsinformationen an einen alternativen Speicherstandort übertragen | CMA_C1294 – Sicherungsinformationen an einen alternativen Speicherstandort übertragen | Manuell, deaktiviert | 1.1.0 |
Testen des Wiederherstellungsplans
ID: SOC 2, Typ 2 A1.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Notfallpläne mit zugehörigen Plänen koordinieren | CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren | Manuell, deaktiviert | 1.1.0 |
Notfallplantests für Korrekturmaßnahmen initiieren | CMA_C1263 – Notfallplantests für Korrekturmaßnahmen initiieren | Manuell, deaktiviert | 1.1.0 |
Ergebnisse der Notfallplantests überprüfen | CMA_C1262 – Ergebnisse der Notfallplantests überprüfen | Manuell, deaktiviert | 1.1.0 |
Business Continuity & Disaster Recovery-Plan testen | CMA_0509 – Business Continuity & Disaster Recovery-Plan testen | Manuell, deaktiviert | 1.1.0 |
Zusätzliche Kriterien für Vertraulichkeit
Schutz vertraulicher Informationen
ID: SOC 2, Typ 2 C1.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
Entsorgung vertraulicher Informationen
ID: SOC 2, Typ 2 C1.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
Kontrollumgebung
COSO-Prinzip 1
ID: SOC 2, Typ 2 CC1.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | Manuell, deaktiviert | 1.1.0 |
Verhaltensregeln der Organisation entwickeln | CMA_0159 – Verhaltensregeln der Organisation entwickeln | Manuell, deaktiviert | 1.1.0 |
Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren | CMA_0193 – Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Verhaltensregeln und Zugriffsvereinbarungen erzwingen | CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen | Manuell, deaktiviert | 1.1.0 |
Unfaire Praktiken verbieten | CMA_0396 – Unfaire Praktiken verbieten | Manuell, deaktiviert | 1.1.0 |
Überarbeitete Verhaltensregeln überprüfen und unterzeichnen | CMA_0465 – Überarbeitete Verhaltensregeln überprüfen und unterzeichnen | Manuell, deaktiviert | 1.1.0 |
Verhaltensregeln und Zugriffsvereinbarungen aktualisieren | CMA_0521 – Verhaltensregeln und Zugriffsvereinbarungen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Verhaltensregeln und Zugriffsvereinbarungen alle 3 Jahre aktualisieren | CMA_0522 – Verhaltensregeln und Zugriffsvereinbarungen alle 3 Jahre aktualisieren | Manuell, deaktiviert | 1.1.0 |
COSO-Prinzip 2
ID: SOC 2, Typ 2 CC1.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Leitenden Informationssicherheitsbeauftragten ernennen | CMA_C1733 – Leitenden Informationssicherheitsbeauftragten ernennen | Manuell, deaktiviert | 1.1.0 |
Systemsicherheitsplan entwickeln und einrichten | CMA_0151 – Systemsicherheitsplan entwickeln und einrichten | Manuell, deaktiviert | 1.1.0 |
Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | Manuell, deaktiviert | 1.1.0 |
COSO-Prinzip 3
ID: SOC 2, Typ 2 CC1.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Leitenden Informationssicherheitsbeauftragten ernennen | CMA_C1733 – Leitenden Informationssicherheitsbeauftragten ernennen | Manuell, deaktiviert | 1.1.0 |
Systemsicherheitsplan entwickeln und einrichten | CMA_0151 – Systemsicherheitsplan entwickeln und einrichten | Manuell, deaktiviert | 1.1.0 |
Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | Manuell, deaktiviert | 1.1.0 |
COSO-Prinzip 4
ID: SOC 2, Typ 2 CC1.4 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen | CMA_C1095 – Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen | CMA_C1091 – Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
Bereitstellen rollenbasierter praktischer Übungen | CMA_C1096: Bereitstellen rollenbasierter praktischer Übungen | Manuell, deaktiviert | 1.1.0 |
Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen | CMA_0418 – Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
Sicherheitstraining für neue Benutzer bereitstellen | CMA_0419 – Sicherheitstraining für neue Benutzer bereitstellen | Manuell, deaktiviert | 1.1.0 |
COSO-Prinzip 5
ID: SOC 2, Typ 2 CC1.5 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | Manuell, deaktiviert | 1.1.0 |
Verhaltensregeln und Zugriffsvereinbarungen erzwingen | CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen | Manuell, deaktiviert | 1.1.0 |
Formelle Sanktionsprozesse implementieren | CMA_0317 – Formelle Sanktionsprozesse implementieren | Manuell, deaktiviert | 1.1.0 |
Mitarbeiter über Sanktionen benachrichtigen | CMA_0380 – Mitarbeiter über Sanktionen benachrichtigen | Manuell, deaktiviert | 1.1.0 |
Kommunikation und Informationen
COSO-Prinzip 13
ID: SOC 2, Typ 2 CC2.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
COSO-Prinzip 14
ID: SOC 2, Typ 2 CC2.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | CMA_0143 – Akzeptable Nutzungsrichtlinien und -prozeduren entwickeln | Manuell, deaktiviert | 1.1.0 |
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.0.0 |
Verhaltensregeln und Zugriffsvereinbarungen erzwingen | CMA_0248 – Verhaltensregeln und Zugriffsvereinbarungen erzwingen | Manuell, deaktiviert | 1.1.0 |
Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen | CMA_C1095 – Regelmäßiges rollenbasiertes Sicherheitstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen | CMA_C1091 – Regelmäßiges Sicherheitsbewusstseinstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen | CMA_0418 – Vor dem Zugriffsgewährung Sicherheitstraining bereitstellen | Manuell, deaktiviert | 1.1.0 |
Sicherheitstraining für neue Benutzer bereitstellen | CMA_0419 – Sicherheitstraining für neue Benutzer bereitstellen | Manuell, deaktiviert | 1.1.0 |
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
COSO-Prinzip 15
ID: SOC 2, Typ 2 CC2.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Aufgaben von Auftragsverarbeitern definieren | CMA_0127 – Aufgaben von Auftragsverarbeitern definieren | Manuell, deaktiviert | 1.1.0 |
Ergebnisse der Sicherheitsbewertung liefern | CMA_C1147 – Ergebnisse der Sicherheitsbewertung liefern | Manuell, deaktiviert | 1.1.0 |
Systemsicherheitsplan entwickeln und einrichten | CMA_0151 – Systemsicherheitsplan entwickeln und einrichten | Manuell, deaktiviert | 1.1.0 |
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.0.0 |
Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | CMA_0279 – Sicherheitsanforderungen für die Herstellung verbundener Geräte festlegen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsanforderungen für Mitarbeiter von Drittanbietern einrichten | CMA_C1529 – Öffentliche Verfügbarkeit der Informationen zum Datenschutzprogramm sicherstellen | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis-Bereitstellungsmethoden implementieren | CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | CMA_0325 – Sicherheitsentwicklungsprinzipien von Informationssystemen implementieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsbewertungsbericht erstellen | CMA_C1146 – Sicherheitsbewertungsbericht erstellen | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis bereitstellen | CMA_0414 – Datenschutzhinweis bereitstellen | Manuell, deaktiviert | 1.1.0 |
Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern | CMA_C1530 – Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern | Manuell, deaktiviert | 1.1.0 |
Kommunikation einschränken | CMA_0449 – Kommunikation einschränken | Manuell, deaktiviert | 1.1.0 |
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Risikobewertung
COSO-Prinzip 6
ID: SOC 2, Typ 2 CC3.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Informationen kategorisieren | CMA_0052 – Informationen kategorisieren | Manuell, deaktiviert | 1.1.0 |
Ermitteln der Informationsschutzanforderungen | CMA_C1750: Ermitteln der Informationsschutzanforderungen | Manuell, deaktiviert | 1.1.0 |
Geschäftsklassifizierungsschemas entwickeln | CMA_0155 – Geschäftsklassifizierungsschemas entwickeln | Manuell, deaktiviert | 1.1.0 |
SSP entwickeln, das Kriterien erfüllt | CMA_C1492 – SSP entwickeln, das Kriterien erfüllt | Manuell, deaktiviert | 1.1.0 |
Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
COSO-Prinzip 7
ID: SOC 2, Typ 2 CC3.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Informationen kategorisieren | CMA_0052 – Informationen kategorisieren | Manuell, deaktiviert | 1.1.0 |
Ermitteln der Informationsschutzanforderungen | CMA_C1750: Ermitteln der Informationsschutzanforderungen | Manuell, deaktiviert | 1.1.0 |
Geschäftsklassifizierungsschemas entwickeln | CMA_0155 – Geschäftsklassifizierungsschemas entwickeln | Manuell, deaktiviert | 1.1.0 |
Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
COSO-Prinzip 8
ID: SOC 2, Typ 2 CC3.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
COSO-Prinzip 9
ID: SOC 2, Typ 2 CC3.4 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Risiko in Drittanbieterbeziehungen bewerten | CMA_0014 – Risiko in Drittanbieterbeziehungen bewerten | Manuell, deaktiviert | 1.1.0 |
Anforderungen für die Bereitstellung von Waren und Dienstleistungen definieren | CMA_0126 – Anforderungen für die Bereitstellung von Waren und Dienstleistungen definieren | Manuell, deaktiviert | 1.1.0 |
Vertragliche Lieferantenverpflichtungen festlegen | CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen | Manuell, deaktiviert | 1.1.0 |
Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
Richtlinien für das Risikomanagement der Lieferkette einrichten | CMA_0275 – Richtlinien für das Risikomanagement der Lieferkette einrichten | Manuell, deaktiviert | 1.1.0 |
Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
Überwachen von Aktivitäten
COSO-Prinzip 16
ID: SOC 2, Typ 2 CC4.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Sicherheitskontrollen bewerten | CMA_C1145 – Sicherheitskontrollen bewerten | Manuell, deaktiviert | 1.1.0 |
Sicherheitsbewertungsplan entwickeln | CMA_C1144 – Sicherheitsbewertungsplan entwickeln | Manuell, deaktiviert | 1.1.0 |
Weitere Tests für Sicherheitskontrollbewertungen auswählen | CMA_C1149 – Weitere Tests für Sicherheitskontrollbewertungen auswählen | Manuell, deaktiviert | 1.1.0 |
COSO-Prinzip 17
ID: SOC 2, Typ 2 CC4.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Ergebnisse der Sicherheitsbewertung liefern | CMA_C1147 – Ergebnisse der Sicherheitsbewertung liefern | Manuell, deaktiviert | 1.1.0 |
Sicherheitsbewertungsbericht erstellen | CMA_C1146 – Sicherheitsbewertungsbericht erstellen | Manuell, deaktiviert | 1.1.0 |
Kontrollaktivitäten
COSO-Prinzip 10
ID: SOC 2, Typ 2 CC5.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
COSO-Prinzip 11
ID: SOC 2, Typ 2 CC5.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Zugriffssteuerungsmodell entwerfen | CMA_0129 – Zugriffssteuerungsmodell entwerfen | Manuell, deaktiviert | 1.1.0 |
Vertragliche Lieferantenverpflichtungen festlegen | CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen | Manuell, deaktiviert | 1.1.0 |
Akzeptanzkriterien für Kaufverträge dokumentieren | CMA_0187 – Akzeptanzkriterien für Kaufverträge dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz personenbezogener Daten in Kaufverträgen dokumentieren | CMA_0194 – Schutz personenbezogener Daten in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | CMA_0195 – Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | CMA_0197 – Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | CMA_0199 – Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | CMA_0200 – Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | CMA_0201 – Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Umgebung des Informationssystems in Kaufverträgen dokumentieren | CMA_0205 – Umgebung des Informationssystems in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | CMA_0207 – Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | Manuell, deaktiviert | 1.1.0 |
Zugriff mit den geringsten Rechten verwenden | CMA_0212 – Zugriff mit den geringsten Rechten verwenden | Manuell, deaktiviert | 1.1.0 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
COSO-Prinzip 12
ID: SOC 2, Typ 2 CC5.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Whitelist für die Erkennung konfigurieren | CMA_0068 – Whitelist für die Erkennung konfigurieren | Manuell, deaktiviert | 1.1.0 |
Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
Sensoren für Endpunktsicherheitslösung aktivieren | CMA_0514 – Sensoren für Endpunktsicherheitslösung aktivieren | Manuell, deaktiviert | 1.1.0 |
Unabhängige Sicherheitsüberprüfung durchlaufen | CMA_0515 – Unabhängige Sicherheitsüberprüfung durchlaufen | Manuell, deaktiviert | 1.1.0 |
Logische und physische Zugriffssteuerung
Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs
ID: SOC 2, Typ 2 CC6.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 2.4.0 |
Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | CMA_0022 – Zugriff auf Sicherheitsfunktionen und -informationen autorisieren | Manuell, deaktiviert | 1.1.0 |
Zugriff autorisieren und verwalten | CMA_0023 – Zugriff autorisieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Remotezugriff autorisieren | CMA_0024 – Remotezugriff autorisieren | Manuell, deaktiviert | 1.1.0 |
Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich. | Audit, Deny, Disabled | 2.2.0 |
Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. | Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.1.0 |
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
Informationsfluss steuern | CMA_0079 – Informationsfluss steuern | Manuell, deaktiviert | 1.1.0 |
Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Datenbestand erstellen | CMA_0096 – Datenbestand erstellen | Manuell, deaktiviert | 1.1.0 |
Verwaltungsprozess physischer Schlüssel definieren | CMA_0115 – Verwaltungsprozess physischer Schlüssel definieren | Manuell, deaktiviert | 1.1.0 |
Kryptografische Verwendung definieren | CMA_0120 – Kryptografische Verwendung definieren | Manuell, deaktiviert | 1.1.0 |
Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | CMA_0123 – Organisationsanforderungen für die kryptografische Schlüsselverwaltung definieren | Manuell, deaktiviert | 1.1.0 |
Zugriffssteuerungsmodell entwerfen | CMA_0129 – Zugriffssteuerungsmodell entwerfen | Manuell, deaktiviert | 1.1.0 |
Assertionsanforderungen bestimmen | CMA_0136 – Assertionsanforderungen bestimmen | Manuell, deaktiviert | 1.1.0 |
Mobilitätstraining dokumentieren | CMA_0191 – Mobilitätstraining dokumentieren | Manuell, deaktiviert | 1.1.0 |
Richtlinien für den Remotezugriff dokumentieren | CMA_0196 – Richtlinien für den Remotezugriff dokumentieren | Manuell, deaktiviert | 1.1.0 |
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | Manuell, deaktiviert | 1.1.0 |
Zugriff mit den geringsten Rechten verwenden | CMA_0212 – Zugriff mit den geringsten Rechten verwenden | Manuell, deaktiviert | 1.1.0 |
Logischen Zugriff erzwingen | CMA_0245 – Logischen Zugriff erzwingen | Manuell, deaktiviert | 1.1.0 |
Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | CMA_0246 – Obligatorische und bedingte Zugriffssteuerungsrichtlinien erzwingen | Manuell, deaktiviert | 1.1.0 |
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Datenleck-Verwaltungsprozedur einrichten | CMA_0255 – Datenleck-Verwaltungsprozedur einrichten | Manuell, deaktiviert | 1.1.0 |
Firewall- und Routerkonfigurationsstandards einrichten | CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten | Manuell, deaktiviert | 1.1.0 |
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | Manuell, deaktiviert | 1.1.0 |
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Downstream-Informationsaustausche identifizieren und verwalten | CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | Manuell, deaktiviert | 1.1.0 |
Physische Sicherheit für Büros, Arbeitsbereiche und sichere Bereiche implementieren | CMA_0323 – Physische Sicherheit für Büros, Arbeitsbereiche und gesicherte Bereiche implementieren | Manuell, deaktiviert | 1.1.0 |
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Öffentliche Schlüsselzertifikate ausstellen | CMA_0347 – Öffentliche Schlüsselzertifikate ausstellen | Manuell, deaktiviert | 1.1.0 |
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Audit, Deny, Disabled | 2.1.0 |
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. | Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. | Audit, Deny, Disabled | 3.0.0 |
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.1.0 |
Datensätze zur Verarbeitung personenbezogener Daten verwalten | CMA_0353 – Datensätze zur Verarbeitung personenbezogener Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Symmetrische kryptografische Schlüssel verwalten | CMA_0367 – Symmetrische kryptografische Schlüssel verwalten | Manuell, deaktiviert | 1.1.0 |
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Benutzer über Systemanmeldung oder -zugriff benachrichtigen | CMA_0382 – Benutzer über Systemanmeldung oder -zugriff benachrichtigen | Manuell, deaktiviert | 1.1.0 |
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Spezielle Informationen schützen | CMA_0409 – Spezielle Informationen schützen | Manuell, deaktiviert | 1.1.0 |
Training zum Datenschutz bereitstellen | CMA_0415 – Training zum Datenschutz bereitstellen | Manuell, deaktiviert | 1.1.0 |
Genehmigung für Kontoerstellung anfordern | CMA_0431 – Genehmigung für Kontoerstellung anfordern | Manuell, deaktiviert | 1.1.0 |
Zugriff auf private Schlüssel einschränken | CMA_0445 – Zugriff auf private Schlüssel einschränken | Manuell, deaktiviert | 1.1.0 |
Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | CMA_0481 – Benutzergruppen und Anwendungen mit Zugriff auf vertrauliche Daten überprüfen | Manuell, deaktiviert | 1.1.0 |
Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen | Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. | Audit, Deny, Disabled | 1.1.0 |
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.0 |
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.1 |
Das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, muss mit BYOK verschlüsselt sein | Diese Richtlinie überwacht, ob das Speicherkonto, das den Container mit Aktivitätsprotokollen enthält, mit BYOK verschlüsselt ist. Die Richtlinie funktioniert nur, wenn sich das Speicherkonto in demselben Abonnement wie die Aktivitätsprotokolle befindet. Weitere Informationen zur Azure Storage-Verschlüsselung im Ruhezustand finden Sie unter https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled | 1.0.3 |
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 3.0.1 |
Bereitstellung und Entfernung des Zugriffs
ID: SOC 2, Typ 2 CC6.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Kundenbetreuer zuweisen | CMA_0015 – Kundenbetreuer zuweisen | Manuell, deaktiviert | 1.1.0 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Zugriffsrechte dokumentieren | CMA_0186 – Zugriffsrechte dokumentieren | Manuell, deaktiviert | 1.1.0 |
Bedingungen für die Rollenmitgliedschaft festlegen | CMA_0269 – Bedingungen für die Rollenmitgliedschaft festlegen | Manuell, deaktiviert | 1.1.0 |
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Genehmigung für Kontoerstellung anfordern | CMA_0431 – Genehmigung für Kontoerstellung anfordern | Manuell, deaktiviert | 1.1.0 |
Zugriff auf privilegierte Konten einschränken | CMA_0446 – Zugriff auf privilegierte Konten einschränken | Manuell, deaktiviert | 1.1.0 |
Kontobereitstellungsprotokolle überprüfen | CMA_0460 – Kontobereitstellungsprotokolle überprüfen | Manuell, deaktiviert | 1.1.0 |
Überprüfen von Benutzerkonten | CMA_0480 – Überprüfen von Benutzerkonten | Manuell, deaktiviert | 1.1.0 |
Rollenbasierter Zugriff und geringste Rechte
ID: SOC 2, Typ 2 CC6.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
Privilegierte Funktionen überwachen | CMA_0019 – Privilegierte Funktionen überwachen | Manuell, deaktiviert | 1.1.0 |
Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
Status des Benutzerkontos überwachen | CMA_0020 – Status des Benutzerkontos überwachen | Manuell, deaktiviert | 1.1.0 |
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Zugriffssteuerungsmodell entwerfen | CMA_0129 – Zugriffssteuerungsmodell entwerfen | Manuell, deaktiviert | 1.1.0 |
Zugriff mit den geringsten Rechten verwenden | CMA_0212 – Zugriff mit den geringsten Rechten verwenden | Manuell, deaktiviert | 1.1.0 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Privilegierte Rollenzuweisung überwachen | CMA_0378 – Privilegierte Rollenzuweisung überwachen | Manuell, deaktiviert | 1.1.0 |
Zugriff auf privilegierte Konten einschränken | CMA_0446 – Zugriff auf privilegierte Konten einschränken | Manuell, deaktiviert | 1.1.0 |
Kontobereitstellungsprotokolle überprüfen | CMA_0460 – Kontobereitstellungsprotokolle überprüfen | Manuell, deaktiviert | 1.1.0 |
Überprüfen von Benutzerkonten | CMA_0480 – Überprüfen von Benutzerkonten | Manuell, deaktiviert | 1.1.0 |
Benutzerberechtigungen überprüfen | CMA_C1039 – Benutzerberechtigungen überprüfen | Manuell, deaktiviert | 1.1.0 |
Privilegierte Rollen nach Bedarf widerrufen | CMA_0483 – Privilegierte Rollen nach Bedarf widerrufen | Manuell, deaktiviert | 1.1.0 |
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. | Audit, Disabled | 1.0.4 |
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Privileged Identity Management verwenden | CMA_0533 – Privileged Identity Management verwenden | Manuell, deaktiviert | 1.1.0 |
Eingeschränkter physischer Zugriff
ID: SOC 2, Typ 2 CC6.4 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Logischer und physischer Schutz von physischen Ressourcen
ID: SOC 2, Typ 2 CC6.5 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Medienbereinigungsmechanismus verwenden | CMA_0208 – Medienbereinigungsmechanismus verwenden | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen
ID: SOC 2, Typ 2 CC6.6 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Biometrische Authentifizierungsmechanismen anwenden | CMA_0005 – Biometrische Authentifizierungsmechanismen anwenden | Manuell, deaktiviert | 1.1.0 |
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 2.4.0 |
Remotezugriff autorisieren | CMA_0024 – Remotezugriff autorisieren | Manuell, deaktiviert | 1.1.0 |
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
Informationsfluss steuern | CMA_0079 – Informationsfluss steuern | Manuell, deaktiviert | 1.1.0 |
Mobilitätstraining dokumentieren | CMA_0191 – Mobilitätstraining dokumentieren | Manuell, deaktiviert | 1.1.0 |
Richtlinien für den Remotezugriff dokumentieren | CMA_0196 – Richtlinien für den Remotezugriff dokumentieren | Manuell, deaktiviert | 1.1.0 |
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | Manuell, deaktiviert | 1.1.0 |
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Firewall- und Routerkonfigurationsstandards einrichten | CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten | Manuell, deaktiviert | 1.1.0 |
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | Manuell, deaktiviert | 1.1.0 |
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
Netzwerkgeräte identifizieren und authentifizieren | CMA_0296 – Netzwerkgeräte identifizieren und authentifizieren | Manuell, deaktiviert | 1.1.0 |
Downstream-Informationsaustausche identifizieren und verwalten | CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | CMA_0315 – Steuerelemente zum Sichern alternativer Arbeitsstandorte implementieren | Manuell, deaktiviert | 1.1.0 |
Systemgrenzschutz implementieren | CMA_0328 – Systemgrenzschutz implementieren | Manuell, deaktiviert | 1.1.0 |
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.1.0 |
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Benutzer über Systemanmeldung oder -zugriff benachrichtigen | CMA_0382 – Benutzer über Systemanmeldung oder -zugriff benachrichtigen | Manuell, deaktiviert | 1.1.0 |
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Training zum Datenschutz bereitstellen | CMA_0415 – Training zum Datenschutz bereitstellen | Manuell, deaktiviert | 1.1.0 |
Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 3.0.1 |
Einschränken des Informationsverkehrs auf autorisierte Benutzer*innen
ID: SOC 2, Typ 2 CC6.7 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | CMA_0073 – Arbeitsstationen für das Überprüfen auf digitale Zertifikate konfigurieren | Manuell, deaktiviert | 1.1.0 |
Informationsfluss steuern | CMA_0079 – Informationsfluss steuern | Manuell, deaktiviert | 1.1.0 |
Anforderungen für mobile Geräte definieren | CMA_0122 – Anforderungen für mobile Geräte definieren | Manuell, deaktiviert | 1.1.0 |
Medienbereinigungsmechanismus verwenden | CMA_0208 – Medienbereinigungsmechanismus verwenden | Manuell, deaktiviert | 1.1.0 |
Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | CMA_0211 – Flusssteuerungsmechanismen verschlüsselter Informationen verwenden | Manuell, deaktiviert | 1.1.0 |
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Firewall- und Routerkonfigurationsstandards einrichten | CMA_0272 – Firewall- und Routerkonfigurationsstandards einrichten | Manuell, deaktiviert | 1.1.0 |
Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | CMA_0273 – Netzwerksegmentierung für Karteninhaber-Datenumgebung einrichten | Manuell, deaktiviert | 1.1.0 |
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.1.0 |
Downstream-Informationsaustausche identifizieren und verwalten | CMA_0298 – Downstream-Informationsaustausche identifizieren und verwalten | Manuell, deaktiviert | 1.1.0 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.1.0 |
Transport von Ressourcen verwalten | CMA_0370 – Transport von Ressourcen verwalten | Manuell, deaktiviert | 1.1.0 |
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
In Übertragung begriffene Daten mit Verschlüsselung schützen | CMA_0403 – In Übertragung begriffene Daten mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Kennwörter mit Verschlüsselung schützen | CMA_0408 – Kennwörter mit Verschlüsselung schützen | Manuell, deaktiviert | 1.1.0 |
Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 3.0.1 |
Verhindern oder Erkennen vor nicht autorisierter oder bösartiger Software
ID: SOC 2, Typ 2 CC6.8 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. | Audit, Disabled | 3.1.0-deprecated |
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
App Service-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | Überwachung | 1.0.0 |
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. | Audit, Disabled | 1.0.2 |
Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden, blockieren | CMA_0050 – Nicht vertrauenswürdige und nicht signierten Prozesse blockieren, die über USB ausgeführt werden | Manuell, deaktiviert | 1.1.0 |
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 2.0.0 |
Funktions-Apps sollten die neueste „HTTP Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 10.2.0 |
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 10.2.0 |
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.1.0 |
Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 10.1.0 |
Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.1.0 |
Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.0 |
Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 1.5.0 |
Verwalten von Gateways | CMA_0363 – Gateways verwalten | Manuell, deaktiviert | 1.1.0 |
Es dürfen nur genehmigte VM-Erweiterungen installiert werden | Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. | Audit, Deny, Disabled | 1.0.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | CMA_0475 – Bericht zu Schadsoftwareerkennungen wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Bedrohungsschutzstatus wöchentlich überprüfen | CMA_0479 – Bedrohungsschutzstatus wöchentlich überprüfen | Manuell, deaktiviert | 1.1.0 |
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen | Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen. | Audit, Deny, Disabled | 1.0.0 |
Virendefinitionen aktualisieren | CMA_0517 – Virendefinitionen aktualisieren | Manuell, deaktiviert | 1.1.0 |
Software-, Firmware- und Informationsintegrität bestätigen | CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen | Manuell, deaktiviert | 1.1.0 |
Systemdiagnosedaten anzeigen und konfigurieren | CMA_0544 – Systemdiagnosedaten anzeigen und konfigurieren | Manuell, deaktiviert | 1.1.0 |
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Systemvorgänge
Erkennung und Überwachung neuer Sicherheitsrisiken
ID: SOC 2, Typ 2 CC7.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Aktionen für nicht kompatible Geräte konfigurieren | CMA_0062 – Aktionen für nicht kompatible Geräte konfigurieren | Manuell, deaktiviert | 1.1.0 |
Basisplankonfigurationen entwickeln und verwalten | CMA_0153 – Basisplankonfigurationen entwickeln und verwalten | Manuell, deaktiviert | 1.1.0 |
Erkennung von Netzwerkgeräten aktivieren | CMA_0220 – Erkennung von Netzwerkgeräten aktivieren | Manuell, deaktiviert | 1.1.0 |
Einstellungen für die Sicherheitskonfiguration erzwingen | CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen | Manuell, deaktiviert | 1.1.0 |
Konfigurationssteuerungsgremium einrichten | CMA_0254 – Konfigurationssteuerungsgremium einrichten | Manuell, deaktiviert | 1.1.0 |
Konfigurationsverwaltungsplan einrichten und dokumentieren | CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
Tool für die automatisierte Konfigurationsverwaltung implementieren | CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsrisikoüberprüfungen ausführen | CMA_0393 – Sicherheitsrisikoüberprüfungen ausführen | Manuell, deaktiviert | 1.1.0 |
Informationssystemfehler korrigieren | CMA_0427 – Informationssystemfehler korrigieren | Manuell, deaktiviert | 1.1.0 |
Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | CMA_0495 – Automatisierte Benachrichtigungen für neue und beliebte Cloudanwendungen in Ihrer Organisation festlegen | Manuell, deaktiviert | 1.1.0 |
Software-, Firmware- und Informationsintegrität bestätigen | CMA_0542 – Software-, Firmware- und Informationsintegrität bestätigen | Manuell, deaktiviert | 1.1.0 |
Systemdiagnosedaten anzeigen und konfigurieren | CMA_0544 – Systemdiagnosedaten anzeigen und konfigurieren | Manuell, deaktiviert | 1.1.0 |
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
Überwachen von Systemkomponenten auf ungewöhnliches Verhalten
ID: SOC 2, Typ 2 CC7.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 3.0.0 |
Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | CMA_C1700 – Netzwerkdienste erkennen, die nicht autorisiert oder genehmigt wurden | Manuell, deaktiviert | 1.1.0 |
Überwachungsverarbeitungsaktivitäten steuern und überwachen | CMA_0289 – Überwachungsverarbeitungsaktivitäten steuern und überwachen | Manuell, deaktiviert | 1.1.0 |
Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Erkennung von Sicherheitsvorfällen
ID: SOC 2, Typ 2 CC7.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Richtlinien und Prozeduren zur Reaktion auf Vorfälle überprüfen und aktualisieren | CMA_C1352 – Richtlinien und Prozeduren zur Reaktion auf Vorfälle überprüfen und aktualisieren | Manuell, deaktiviert | 1.1.0 |
Reaktion auf Sicherheitsvorfälle
ID: SOC 2, Typ 2 CC7.4 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Informationssicherheitsereignisse bewerten | CMA_0013 – Informationssicherheitsereignisse bewerten | Manuell, deaktiviert | 1.1.0 |
Notfallpläne mit zugehörigen Plänen koordinieren | CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren | Manuell, deaktiviert | 1.1.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Sicherheitsvorkehrungen entwickeln | CMA_0161 – Sicherheitsvorkehrungen entwickeln | Manuell, deaktiviert | 1.1.0 |
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.0.0 |
Netzwerkschutz aktivieren | CMA_0238 – Netzwerkschutz aktivieren | Manuell, deaktiviert | 1.1.0 |
Kontaminierte Informationen eliminieren | CMA_0253 – Kontaminierte Informationen eliminieren | Manuell, deaktiviert | 1.1.0 |
Aktionen als Reaktion auf Informationslecks ausführen | CMA_0281 – Aktionen als Reaktion auf Informationslecks ausführen | Manuell, deaktiviert | 1.1.0 |
Identifizierung von Vorfallsklassen und ergriffene Aktionen | CMA_C1365: Identifizierung von Vorfallsklassen und ergriffene Aktionen | Manuell, deaktiviert | 1.1.0 |
Vorfallbearbeitung implementieren | CMA_0318 – Vorfallbearbeitung implementieren | Manuell, deaktiviert | 1.1.0 |
Dynamische Rekonfiguration der vom Kunden bereitgestellten Ressourcen einbeziehen | CMA_C1364 – Dynamische Rekonfiguration der vom Kunden bereitgestellten Ressourcen einbeziehen | Manuell, deaktiviert | 1.1.0 |
Plan zur Reaktion auf Vorfälle beibehalten | CMA_0352 – Plan zur Reaktion auf Vorfälle beibehalten | Manuell, deaktiviert | 1.1.0 |
Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Eingeschränkte Benutzer anzeigen und untersuchen | CMA_0545 – Eingeschränkte Benutzer anzeigen und untersuchen | Manuell, deaktiviert | 1.1.0 |
Wiederherstellung nach identifizierten Sicherheitsvorfällen
ID: SOC 2, Typ 2 CC7.5 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Informationssicherheitsereignisse bewerten | CMA_0013 – Informationssicherheitsereignisse bewerten | Manuell, deaktiviert | 1.1.0 |
Testen von Reaktionen auf Vorfälle durchführen | CMA_0060: Durchführung von Tests zur Reaktion auf Vorfälle | Manuell, deaktiviert | 1.1.0 |
Notfallpläne mit zugehörigen Plänen koordinieren | CMA_0086 – Notfallpläne mit zugehörigen Plänen koordinieren | Manuell, deaktiviert | 1.1.0 |
Koordinieren mit externen Organisationen, um eine organisationsübergreifende Perspektive zu erreichen | CMA_C1368: Koordinieren mit externen Organisationen, um eine organisationsübergreifende Perspektive zu gewinnen | Manuell, deaktiviert | 1.1.0 |
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Sicherheitsvorkehrungen entwickeln | CMA_0161 – Sicherheitsvorkehrungen entwickeln | Manuell, deaktiviert | 1.1.0 |
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.0.0 |
Netzwerkschutz aktivieren | CMA_0238 – Netzwerkschutz aktivieren | Manuell, deaktiviert | 1.1.0 |
Kontaminierte Informationen eliminieren | CMA_0253 – Kontaminierte Informationen eliminieren | Manuell, deaktiviert | 1.1.0 |
Informationssicherheitsprogramm einrichten | CMA_0263 – Informationssicherheitsprogramm einrichten | Manuell, deaktiviert | 1.1.0 |
Aktionen als Reaktion auf Informationslecks ausführen | CMA_0281 – Aktionen als Reaktion auf Informationslecks ausführen | Manuell, deaktiviert | 1.1.0 |
Vorfallbearbeitung implementieren | CMA_0318 – Vorfallbearbeitung implementieren | Manuell, deaktiviert | 1.1.0 |
Plan zur Reaktion auf Vorfälle beibehalten | CMA_0352 – Plan zur Reaktion auf Vorfälle beibehalten | Manuell, deaktiviert | 1.1.0 |
Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
Trendanalyse für Bedrohungen ausführen | CMA_0389 – Trendanalyse für Bedrohungen ausführen | Manuell, deaktiviert | 1.1.0 |
Simulationsangriffe ausführen | CMA_0486: Ausführen von Simulationsangriffen | Manuell, deaktiviert | 1.1.0 |
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Eingeschränkte Benutzer anzeigen und untersuchen | CMA_0545 – Eingeschränkte Benutzer anzeigen und untersuchen | Manuell, deaktiviert | 1.1.0 |
Change Management
Änderungen an Infrastruktur, Daten und Software
ID: SOC 2, Typ 2 CC8.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. | Audit, Disabled | 3.1.0-deprecated |
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
App Service-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | Überwachung | 1.0.0 |
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. | Audit, Disabled | 1.0.2 |
Sicherheitsauswirkungsanalyse durchführen | CMA_0057 – Sicherheitsauswirkungsanalyse durchführen | Manuell, deaktiviert | 1.1.0 |
Aktionen für nicht kompatible Geräte konfigurieren | CMA_0062 – Aktionen für nicht kompatible Geräte konfigurieren | Manuell, deaktiviert | 1.1.0 |
Standard für Sicherheitsrisikomanagement entwickeln und verwalten | CMA_0152 – Standard für Sicherheitsrisikomanagement entwickeln und verwalten | Manuell, deaktiviert | 1.1.0 |
Basisplankonfigurationen entwickeln und verwalten | CMA_0153 – Basisplankonfigurationen entwickeln und verwalten | Manuell, deaktiviert | 1.1.0 |
Einstellungen für die Sicherheitskonfiguration erzwingen | CMA_0249 – Einstellungen für die Sicherheitskonfiguration erzwingen | Manuell, deaktiviert | 1.1.0 |
Konfigurationssteuerungsgremium einrichten | CMA_0254 – Konfigurationssteuerungsgremium einrichten | Manuell, deaktiviert | 1.1.0 |
Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
Konfigurationsverwaltungsplan einrichten und dokumentieren | CMA_0264 – Konfigurationsverwaltungsplan einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
Änderungssteuerungsprozesse einrichten und dokumentieren | CMA_0265 – Änderungssteuerungsprozesse einrichten und dokumentieren | Manuell, deaktiviert | 1.1.0 |
Konfigurationsverwaltungsanforderungen für Entwickler einrichten | CMA_0270 – Konfigurationsverwaltungsanforderungen für Entwickler einrichten | Manuell, deaktiviert | 1.1.0 |
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 2.0.0 |
Funktions-Apps sollten die neueste „HTTP Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
Tool für die automatisierte Konfigurationsverwaltung implementieren | CMA_0311 – Tool für die automatisierte Konfigurationsverwaltung implementieren | Manuell, deaktiviert | 1.1.0 |
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 10.2.0 |
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 10.2.0 |
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.1.0 |
Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 10.1.0 |
Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.1.0 |
Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.0 |
Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 1.5.0 |
Es dürfen nur genehmigte VM-Erweiterungen installiert werden | Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. | Audit, Deny, Disabled | 1.0.0 |
Datenschutzauswirkungsbewertung durchführen | CMA_0387 – Datenschutzauswirkungsbewertung durchführen | Manuell, deaktiviert | 1.1.0 |
Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
Überprüfung für Konfigurationsänderungssteuerung ausführen | CMA_0390 – Überprüfung für Konfigurationsänderungssteuerung ausführen | Manuell, deaktiviert | 1.1.0 |
Speicherkonten sollten Zugriff von vertrauenswürdigen Microsoft-Diensten zulassen | Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann. Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen. | Audit, Deny, Disabled | 1.0.0 |
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Risikominderung
Aktivitäten zur Risikominderung
ID: SOC 2, Typ 2 CC9.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Ermitteln der Informationsschutzanforderungen | CMA_C1750: Ermitteln der Informationsschutzanforderungen | Manuell, deaktiviert | 1.1.0 |
Risikomanagementstrategie einrichten | CMA_0258 – Risikomanagementstrategie einrichten | Manuell, deaktiviert | 1.1.0 |
Risikobewertung durchführen | CMA_0388 – Risikobewertung durchführen | Manuell, deaktiviert | 1.1.0 |
Risikomanagement von Anbietern und Geschäftspartner*innen
ID: SOC 2, Typ 2 CC9.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Risiko in Drittanbieterbeziehungen bewerten | CMA_0014 – Risiko in Drittanbieterbeziehungen bewerten | Manuell, deaktiviert | 1.1.0 |
Anforderungen für die Bereitstellung von Waren und Dienstleistungen definieren | CMA_0126 – Anforderungen für die Bereitstellung von Waren und Dienstleistungen definieren | Manuell, deaktiviert | 1.1.0 |
Aufgaben von Auftragsverarbeitern definieren | CMA_0127 – Aufgaben von Auftragsverarbeitern definieren | Manuell, deaktiviert | 1.1.0 |
Vertragliche Lieferantenverpflichtungen festlegen | CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen | Manuell, deaktiviert | 1.1.0 |
Akzeptanzkriterien für Kaufverträge dokumentieren | CMA_0187 – Akzeptanzkriterien für Kaufverträge dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz personenbezogener Daten in Kaufverträgen dokumentieren | CMA_0194 – Schutz personenbezogener Daten in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | CMA_0195 – Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | CMA_0197 – Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | CMA_0199 – Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | CMA_0200 – Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | CMA_0201 – Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Umgebung des Informationssystems in Kaufverträgen dokumentieren | CMA_0205 – Umgebung des Informationssystems in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | CMA_0207 – Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | Manuell, deaktiviert | 1.1.0 |
Richtlinien für das Risikomanagement der Lieferkette einrichten | CMA_0275 – Richtlinien für das Risikomanagement der Lieferkette einrichten | Manuell, deaktiviert | 1.1.0 |
Sicherheitsanforderungen für Mitarbeiter von Drittanbietern einrichten | CMA_C1529 – Öffentliche Verfügbarkeit der Informationen zum Datenschutzprogramm sicherstellen | Manuell, deaktiviert | 1.1.0 |
Drittanbieterkonformität überwachen | CMA_C1533 – Drittanbieterkonformität überwachen | Manuell, deaktiviert | 1.1.0 |
Offenlegungen personenbezogener Informationen an Dritte aufzeichnen | CMA_0422 – Offenlegungen personenbezogener Informationen an Dritte aufzeichnen | Manuell, deaktiviert | 1.1.0 |
Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern | CMA_C1530 – Drittanbieter zur Einhaltung von Richtlinien und Verfahren für die Personalsicherheit auffordern | Manuell, deaktiviert | 1.1.0 |
Mitarbeiter zur Freigabe personenbezogener Informationen und deren Folgen schulen | CMA_C1871 – Mitarbeiter zur Freigabe personenbezogener Informationen und deren Folgen trainieren | Manuell, deaktiviert | 1.1.0 |
Zusätzliche Kriterien für den Datenschutz
Datenschutzbestimmungen
ID: SOC 2, Typ 2 P1.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenschutzrichtlinie dokumentieren und verteilen | CMA_0188 – Datenschutzrichtlinie dokumentieren und verteilen | Manuell, deaktiviert | 1.1.0 |
Öffentliche Verfügbarkeit der Informationen zum Datenschutzprogramm sicherstellen | CMA_C1867 – Öffentliche Verfügbarkeit der Informationen zum Datenschutzprogramm sicherstellen | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis-Bereitstellungsmethoden implementieren | CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis bereitstellen | CMA_0414 – Datenschutzhinweis bereitstellen | Manuell, deaktiviert | 1.1.0 |
Bereitstellen von Datenschutzhinweisen für die Öffentlichkeit und für Einzelpersonen | CMA_C1861: Bereitstellen von Datenschutzhinweisen für die Öffentlichkeit und für Einzelpersonen | Manuell, deaktiviert | 1.1.0 |
Zustimmung zum Datenschutz
ID: SOC 2, Typ 2 P2.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren | CMA_0193 – Mitarbeiterakzeptanz der Datenschutzanforderungen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis-Bereitstellungsmethoden implementieren | CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren | Manuell, deaktiviert | 1.1.0 |
Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen | CMA_0385 – Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis bereitstellen | CMA_0414 – Datenschutzhinweis bereitstellen | Manuell, deaktiviert | 1.1.0 |
Konsistente Erfassung personenbezogener Daten
ID: SOC 2, Typ 2 P3.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Bestimmen der rechtlichen Befugnis für die Erfassung personenbezogener Daten (PII) | CMA_C1800 – Bestimmen der rechtlichen Befugnis für die Erfassung personenbezogener Daten (PII) | Manuell, deaktiviert | 1.1.0 |
Dokumentieren des Prozesses zum Sicherstellen der Integrität personenbezogener Informationen | CMA_C1827: Dokumentieren des Prozesses zum Sicherstellen der Integrität personenbezogener Informationen | Manuell, deaktiviert | 1.1.0 |
Regelmäßiges Auswerten und Überprüfen personenbezogener Informationen | CMA_C1832: Regelmäßiges Auswerten und Überprüfen personenbezogener Informationen | Manuell, deaktiviert | 1.1.0 |
Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen | CMA_0385 – Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen | Manuell, deaktiviert | 1.1.0 |
Explizite Zustimmung zu personenbezogenen Daten
ID: SOC 2, Typ 2 P3.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Erfassen von personenbezogenen Daten (PII) direkt von der Person | CMA_C1822 – Erfassen von personenbezogenen Daten (PII) direkt von der Person | Manuell, deaktiviert | 1.1.0 |
Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen | CMA_0385 – Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen | Manuell, deaktiviert | 1.1.0 |
Verwendung personenbezogener Daten
ID: SOC 2, Typ 2 P4.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Rechtliche Grundlage für die Verarbeitung personenbezogener Daten dokumentieren | CMA_0206 – Rechtliche Grundlage für die Verarbeitung personenbezogener Daten dokumentieren | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis-Bereitstellungsmethoden implementieren | CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren | Manuell, deaktiviert | 1.1.0 |
Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen | CMA_0385 – Zustimmung vor der Erhebung oder Verarbeitung personenbezogener Daten einholen | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis bereitstellen | CMA_0414 – Datenschutzhinweis bereitstellen | Manuell, deaktiviert | 1.1.0 |
Kommunikation einschränken | CMA_0449 – Kommunikation einschränken | Manuell, deaktiviert | 1.1.0 |
Aufbewahrung personenbezogener Daten
ID: SOC 2, Typ 2 P4.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Festgelegte Aufbewahrungszeiträume einhalten | CMA_0004 – Festgelegte Aufbewahrungszeiträume einhalten | Manuell, deaktiviert | 1.1.0 |
Dokumentieren des Prozesses zum Sicherstellen der Integrität personenbezogener Informationen | CMA_C1827: Dokumentieren des Prozesses zum Sicherstellen der Integrität personenbezogener Informationen | Manuell, deaktiviert | 1.1.0 |
Entsorgung personenbezogener Daten
ID: SOC 2, Typ 2 P4.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Dispositionsüberprüfung durchführen | CMA_0391 – Dispositionsüberprüfung durchführen | Manuell, deaktiviert | 1.1.0 |
Löschung der personenbezogene Daten am Ende der Verarbeitung überprüfen | CMA_0540 – Löschung der personenbezogene Daten am Ende der Verarbeitung überprüfen | Manuell, deaktiviert | 1.1.0 |
Zugriff auf personenbezogene Daten
ID: SOC 2, Typ 2 P5.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Methoden für Consumer-Anforderungen implementieren | CMA_0319 – Methoden für Consumer-Anforderungen implementieren | Manuell, deaktiviert | 1.1.0 |
Regeln und Vorschriften für den Zugriff auf Datenschutzerklärungsdatensätze veröffentlichen | CMA_C1847 – Regeln und Vorschriften für den Zugriff auf Datenschutzerklärungsdatensätze veröffentlichen | Manuell, deaktiviert | 1.1.0 |
Korrektur personenbezogener Daten
ID: SOC 2, Typ 2 P5.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Antworten auf Berichtigungsanforderungen | CMA_0442 – Antworten auf Berichtigungsanforderungen | Manuell, deaktiviert | 1.1.0 |
Offenlegung personenbezogener Daten durch Drittanbieter
ID: SOC 2, Typ 2 P6.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Aufgaben von Auftragsverarbeitern definieren | CMA_0127 – Aufgaben von Auftragsverarbeitern definieren | Manuell, deaktiviert | 1.1.0 |
Vertragliche Lieferantenverpflichtungen festlegen | CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen | Manuell, deaktiviert | 1.1.0 |
Akzeptanzkriterien für Kaufverträge dokumentieren | CMA_0187 – Akzeptanzkriterien für Kaufverträge dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz personenbezogener Daten in Kaufverträgen dokumentieren | CMA_0194 – Schutz personenbezogener Daten in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | CMA_0195 – Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | CMA_0197 – Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | CMA_0199 – Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | CMA_0200 – Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | CMA_0201 – Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Umgebung des Informationssystems in Kaufverträgen dokumentieren | CMA_0205 – Umgebung des Informationssystems in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | CMA_0207 – Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | Manuell, deaktiviert | 1.1.0 |
Datenschutzanforderungen für Auftragnehmer und Dienstanbieter festlegen | CMA_C1810 – Datenschutzanforderungen für Auftragnehmer und Dienstanbieter festlegen | Manuell, deaktiviert | 1.1.0 |
Offenlegungen personenbezogener Informationen an Dritte aufzeichnen | CMA_0422 – Offenlegungen personenbezogener Informationen an Dritte aufzeichnen | Manuell, deaktiviert | 1.1.0 |
Mitarbeiter zur Freigabe personenbezogener Informationen und deren Folgen schulen | CMA_C1871 – Mitarbeiter zur Freigabe personenbezogener Informationen und deren Folgen trainieren | Manuell, deaktiviert | 1.1.0 |
Autorisierte Offenlegung von Datensätzen mit personenbezogenen Daten
ID: SOC 2, Typ 2 P6.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Genaue Buchhaltung über die Weitergabe von Informationen führen | CMA_C1818: Genaue Buchhaltung über die Weitergabe von Informationen führen | Manuell, deaktiviert | 1.1.0 |
Nicht autorisierte Offenlegung von Datensätzen mit personenbezogenen Daten
ID: SOC 2, Typ 2 P6.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Genaue Buchhaltung über die Weitergabe von Informationen führen | CMA_C1818: Genaue Buchhaltung über die Weitergabe von Informationen führen | Manuell, deaktiviert | 1.1.0 |
Vereinbarungen mit Drittanbietern
ID: SOC 2, Typ 2 P6.4 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Aufgaben von Auftragsverarbeitern definieren | CMA_0127 – Aufgaben von Auftragsverarbeitern definieren | Manuell, deaktiviert | 1.1.0 |
Benachrichtigung über autorisierte Offenlegung durch Dritte
ID: SOC 2, Typ 2 P6.5 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Vertragliche Lieferantenverpflichtungen festlegen | CMA_0140 – Vertragliche Lieferantenverpflichtungen festlegen | Manuell, deaktiviert | 1.1.0 |
Akzeptanzkriterien für Kaufverträge dokumentieren | CMA_0187 – Akzeptanzkriterien für Kaufverträge dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz personenbezogener Daten in Kaufverträgen dokumentieren | CMA_0194 – Schutz personenbezogener Daten in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | CMA_0195 – Schutz von Sicherheitsinformationen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | CMA_0197 – Anforderungen für die Verwendung freigegebener Daten in Verträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | CMA_0199 – Sicherheitsüberprüfungsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | CMA_0200 – Sicherheitsdokumentationsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | CMA_0201 – Sicherheitsfunktionsanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | CMA_0203 – Sicherheitsstärkeanforderungen in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Umgebung des Informationssystems in Kaufverträgen dokumentieren | CMA_0205 – Umgebung des Informationssystems in Kaufverträgen dokumentieren | Manuell, deaktiviert | 1.1.0 |
Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | CMA_0207 – Schutz von Karteninhaberdaten in Verträgen von Drittanbietern dokumentieren | Manuell, deaktiviert | 1.1.0 |
Informationssicherheit und Schutz personenbezogener Daten | CMA_0332: Informationssicherheit und Schutz personenbezogener Daten | Manuell, deaktiviert | 1.1.0 |
Benachrichtigung über Datenschutzvorfälle
ID: SOC 2, Typ 2 P6.6 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Entwickeln eines Plans für die Reaktion auf Sicherheitsvorfälle | CMA_0145 – Plan zur Reaktion auf Vorfälle entwickeln | Manuell, deaktiviert | 1.1.0 |
Informationssicherheit und Schutz personenbezogener Daten | CMA_0332: Informationssicherheit und Schutz personenbezogener Daten | Manuell, deaktiviert | 1.1.0 |
Verantwortung für Offenlegung personenbezogener Daten
ID: SOC 2, Typ 2 P6.7 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenschutzhinweis-Bereitstellungsmethoden implementieren | CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren | Manuell, deaktiviert | 1.1.0 |
Genaue Buchhaltung über die Weitergabe von Informationen führen | CMA_C1818: Genaue Buchhaltung über die Weitergabe von Informationen führen | Manuell, deaktiviert | 1.1.0 |
Buchhaltung über die Offenlegungen auf Anforderung zur Verfügung stellen | CMA_C1820: Buchhaltung über die Offenlegungen auf Anforderung zur Verfügung stellen | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis bereitstellen | CMA_0414 – Datenschutzhinweis bereitstellen | Manuell, deaktiviert | 1.1.0 |
Kommunikation einschränken | CMA_0449 – Kommunikation einschränken | Manuell, deaktiviert | 1.1.0 |
Qualität personenbezogener Daten
ID: SOC 2, Typ 2 P7.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Überprüfen der Qualität und Integrität von personenbezogenen Informationen | CMA_C1821: Überprüfen der Qualität und Integrität von personenbezogenen Informationen | Manuell, deaktiviert | 1.1.0 |
Herausgeben von Richtlinien zur Gewährleistung der Datenqualität und Integrität | CMA_C1824: Herausgeben von Richtlinien zur Gewährleistung der Datenqualität und Integrität | Manuell, deaktiviert | 1.1.0 |
Überprüfen ungenauer oder veralteter personenbezogener Daten (PII) | CMA_C1823 – Überprüfen ungenauer oder veralteter personenbezogener Daten (PII) | Manuell, deaktiviert | 1.1.0 |
Verwaltung von Datenschutzbeschwerden und Complianceverwaltung
ID: SOC 2, Typ 2 P8.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Beschwerdeverfahren zum Datenschutz dokumentieren und implementieren | CMA_0189 – Beschwerdeverfahren zum Datenschutz dokumentieren und implementieren | Manuell, deaktiviert | 1.1.0 |
Regelmäßiges Auswerten und Überprüfen personenbezogener Informationen | CMA_C1832: Regelmäßiges Auswerten und Überprüfen personenbezogener Informationen | Manuell, deaktiviert | 1.1.0 |
Informationssicherheit und Schutz personenbezogener Daten | CMA_0332: Informationssicherheit und Schutz personenbezogener Daten | Manuell, deaktiviert | 1.1.0 |
Rechtzeitige Reaktion auf Beschwerden, Bedenken oder Fragen | CMA_C1853 – Rechtzeitige Reaktion auf Beschwerden, Bedenken oder Fragen | Manuell, deaktiviert | 1.1.0 |
Mitarbeiter zur Freigabe personenbezogener Informationen und deren Folgen schulen | CMA_C1871 – Mitarbeiter zur Freigabe personenbezogener Informationen und deren Folgen trainieren | Manuell, deaktiviert | 1.1.0 |
Zusätzliche Kriterien für die Verarbeitungsintegrität
Datenverarbeitungsdefinitionen
ID: SOC 2, Typ 2 PI1.1 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Datenschutzhinweis-Bereitstellungsmethoden implementieren | CMA_0324 – Datenschutzhinweis-Bereitstellungsmethoden implementieren | Manuell, deaktiviert | 1.1.0 |
Datenschutzhinweis bereitstellen | CMA_0414 – Datenschutzhinweis bereitstellen | Manuell, deaktiviert | 1.1.0 |
Kommunikation einschränken | CMA_0449 – Kommunikation einschränken | Manuell, deaktiviert | 1.1.0 |
Systemeingaben über Vollständigkeit und Genauigkeit
ID: SOC 2, Typ 2 PI1.2 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Überprüfung der Informationseingabe durchführen | CMA_C1723 – Überprüfung der Informationseingabe durchführen | Manuell, deaktiviert | 1.1.0 |
Systemverarbeitung
ID: SOC 2, Typ 2 PI1.3 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Fehlermeldungen generieren | CMA_C1724 – Fehlermeldungen generieren | Manuell, deaktiviert | 1.1.0 |
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Überprüfung der Informationseingabe durchführen | CMA_C1723 – Überprüfung der Informationseingabe durchführen | Manuell, deaktiviert | 1.1.0 |
Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
Systemausgabe ist vollständig, genau und rechtzeitig
ID: SOC 2, Typ 2 PI1.4 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
Eingaben und Ausgaben vollständig, genau und rechtzeitig speichern
ID: SOC 2, Typ 2 PI1.5 Besitz: Freigegeben
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Physischen Zugriff steuern | CMA_0081 – Physischen Zugriff steuern | Manuell, deaktiviert | 1.1.0 |
Sicherungsrichtlinien und -prozeduren einrichten | CMA_0268 – Sicherungsrichtlinien und -prozeduren einrichten | Manuell, deaktiviert | 1.1.0 |
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Steuerelemente zum Sichern aller Medien implementieren | CMA_0314 – Steuerelemente zum Sichern aller Medien implementieren | Manuell, deaktiviert | 1.1.0 |
Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | CMA_0369 – Eingabe, Ausgabe, Verarbeitung und Speicherung von Daten verwalten | Manuell, deaktiviert | 1.1.0 |
Bezeichnungsaktivitäten und Analysen überprüfen | CMA_0474 – Bezeichnungsaktivitäten und Analysen überprüfen | Manuell, deaktiviert | 1.1.0 |
Sicherungsinformationen separat speichern | CMA_C1293 – Sicherungsinformationen separat speichern | Manuell, deaktiviert | 1.1.0 |
Nächste Schritte
Weitere Artikel über Azure Policy:
- Übersicht über die Einhaltung gesetzlicher Bestimmungen.
- Weitere Informationen finden Sie unter Struktur der Initiativendefinition.
- Sehen Sie sich weitere Beispiele unter Azure Policy-Beispiele an.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.