Azure-Sicherheitsbaseline für Azure Bastion
Diese Sicherheitsbaseline wendet Anleitungen des Microsoft Cloud Security Benchmark Version 1.0 auf Azure Bastion an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für Azure Bastion gelten.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features , die nicht für Azure Bastion gelten, wurden ausgeschlossen. Informationen zur vollständigen Zuordnung von Azure Bastion zum Microsoft Cloud Security Benchmark finden Sie in der vollständigen Zuordnungsdatei für die Azure Bastion-Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure Bastion mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
Dienstverhaltensattribut | Wert |
---|---|
Produktkategorie | Sicherheit |
Der Kunde kann auf HOST/OS zugreifen | Kein Zugriff |
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
Speichert kundenbezogene Inhalte im Ruhezustand | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Kunde |
Konfigurationsleitfaden: Stellen Sie Azure Bastion in einem virtuellen Netzwerk mit mindestens /26 oder höher bereit.
Referenz: Tutorial: Bereitstellen von Bastion
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird).
Referenz: Arbeiten mit NSG-Zugriff und Azure Bastion
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.Network:
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Zugriffs auf öffentliche Netzwerke entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Identitätsverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für den Speicher von Anmeldeinformationen und Geheimnissen. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Kunde |
Konfigurationsleitfaden: Sie können Ihre SSH-Schlüssel als Azure Key Vault-Geheimnisse speichern und diese Geheimnisse verwenden, um mithilfe von Azure Bastion eine Verbindung mit Ihren virtuellen Computern herzustellen. Sie können den Benutzerzugriff auf diese Geheimnisse steuern, indem Sie Key Vault-Zugriffsrichtlinien zuweisen, und zwar entweder für einzelne Benutzer oder Azure AD-Gruppen.
Privilegierter Zugriff
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Features
Lokale Admin-Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Azure Bastion selbst unterstützt Azure RBAC für den Benutzerzugriff nicht.
Wenn Sie jedoch mithilfe von Azure Bastion eine Verbindung mit virtuellen Computern herstellen, benötigt Ihr Benutzer die folgenden Rollenzuweisungen:
- Rolle „Leser“ für die Ziel-VM
- Rolle „Leser“ auf der Netzwerkschnittstellenkarte mit der privaten IP-Adresse der VM
- Rolle „Leser“ für die Azure Bastion-Ressource
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Features
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Kunde |
Konfigurationsleitfaden: Sie können Ihre SSH-Schlüssel in Azure Key Vault Geheimnissen speichern und verwalten und diese Geheimnisse verwenden, um mithilfe von Azure Bastion eine Verbindung mit Ihren virtuellen Computern herzustellen.
Referenz: Verbinden: Verwenden eines in Azure Key Vault gespeicherten privaten Schlüssels
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [bereitstellen, wenn nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
True | False | Kunde |
Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für Azure Bastion. Wenn Benutzer mithilfe von Azure Bastion eine Verbindung mit Workloads herstellen, können Diagnosedaten der Remotesitzungen von Bastion protokolliert werden. Anschließend können Sie anhand der Diagnose feststellen, welche Benutzer wann und von wo aus eine Verbindung mit welchen Workloads hergestellt haben, und weitere relevante Protokollinformationen einsehen.
Referenz: Azure Bastion-Ressourcenprotokolle
Sicherung und Wiederherstellung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Dienstnative Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (wenn er nicht Azure Backup verwendet). Weitere Informationen
Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
---|---|---|
False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Nächste Schritte
- Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark –Übersicht.
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.