Azure-Sicherheitsbaseline für Azure Purview
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Azure Purview an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Azure Purview definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features , die nicht für Azure Purview gelten, wurden ausgeschlossen. Informationen zur vollständigen Zuordnung von Azure Purview zum Microsoft-Cloudsicherheitstest finden Sie in der vollständigen Azure Purview-Sicherheitsbaselinezuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure Purview mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | MGMT/Governance |
| Der Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Speichert ruhende Kundeninhalte | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Stellen Sie den Dienst in einem virtuellen Netzwerk bereit. Weisen Sie der Ressource (sofern zutreffend) private IP-Adressen zu, es sei denn, es gibt einen starken Grund, der Ressource öffentliche IP-Adressen direkt zuzuweisen.
Referenz: Microsoft Purview-Netzwerkarchitektur und bewährte Methoden
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Dies ist nur möglich, wenn private Endpunkte implementiert werden.
Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das feature Private Link unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Referenz: Herstellen einer privaten und sicheren Verbindung mit Ihrem Microsoft Purview-Konto
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder mit einem Umschaltschalter für den Zugriff auf öffentliche Netzwerke.
Referenz: Firewalls zum Einschränken des öffentlichen Zugriffs
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Datenebene zu steuern.
Referenz: Tutorial: Verwenden der REST-APIs
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Referenz: Erstellen einer benutzerseitig zugewiesenen verwalteten Identität
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
Referenz: Erstellen eines Dienstprinzipals
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Azure Active Directory -Zugriff (Azure AD) in der Workload. Betrachten Sie gängige Anwendungsfälle wie das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus, das Blockieren riskanter Anmeldeverhalten oder die Anforderung organization verwalteter Geräte für bestimmte Anwendungen.
Referenz: Bedingter Zugriff mit Microsoft Purview
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Referenz: Anmeldeinformationen für die Quellauthentifizierung in Microsoft Purview
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Features
Lokale Admin Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), um den Azure-Ressourcenzugriff über integrierte Rollenzuweisungen zu verwalten. Azure RBAC-Rollen können Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zugewiesen werden.
Referenz: Zugriffssteuerung im Microsoft Purview-Governanceportal
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Features
Kunden-Lockbox
Beschreibung: Kunden lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Features
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Die Microsoft Purview-Lösung ist das Tool für die Wiederherstellung und Klassifizierung vertraulicher Daten.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Was ist im Microsoft Purview-Governanceportal verfügbar?
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/-verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (im Inhalt des Kunden) zu überwachen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Informationen zur Verhinderung von Datenverlust
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Datenverschlüsselung während der Übertragung für die Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Transport Layer Security (Encryption-in-Transit)
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen verwalteten Microsoft-Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Transparente Datenverschlüsselung (Verschlüsselung ruhender Daten)
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder bei einem Ausfall oder einer Kompromittierung des Schlüssels. Wenn der kundenseitig verwaltete Schlüssel (Customer Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, sollten Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs des Diensts oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) für den Dienst verwenden müssen (z. B. das Importieren von HSM-geschützten Schlüsseln von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
Referenz: Anmeldeinformationen für die Quellauthentifizierung in Purview
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [Bereitstellen, falls nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Referenz: Azure Policy integrierten Richtliniendefinitionen
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die ein Geheimnis aus einem Schlüsseltresor abrufen, oder und Azure SQL Über Ressourcenprotokolle verfügt, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.
Referenz: Microsoft Purview-Metriken in Azure Monitor
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Service Native Backup-Funktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (falls nicht Azure Backup). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Nächste Schritte
- Übersicht über den Microsoft-Cloudsicherheitstest
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.