Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf virtuelle Computer - Linux Virtual Machines. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für virtuelle Computer – Linux Virtual Machines – gelten.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure-Richtliniendefinitionen werden im Abschnitt "Einhaltung gesetzlicher Vorschriften" der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Anmerkung
Funktionen nicht auf virtuelle Maschinen anwendbar – Virtuelle Linux-Maschinen wurden ausgeschlossen. Um zu sehen, wie Virtual Machines - Linux Virtual Machines vollständig auf den Microsoft Cloud Security Benchmark abgebildet wird, sehen Sie sich die vollständige Virtual Machines - Linux Virtual Machines Security Baseline Mapping-Dateian.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten virtueller Computer mit hohem Einfluss zusammen – virtuelle Linux-Computer, die zu erhöhten Sicherheitsaspekten führen können.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Berechnen |
| Kunde kann auf HOST/Betriebssystem zugreifen | Vollzugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Stimmt |
| Ruhende Kundeninhalte werden gespeichert. | Wahr |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Funktionen
Integration virtueller Netzwerke
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da diese Funktion in einer Standardbereitstellung bereits aktiviert ist.
Referenz-: Virtuelle Netzwerke und virtuelle Computer in Azure
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkdatenverkehr des Diensts berücksichtigt die Regelzuweisung für Netzwerksicherheitsgruppen in seinen Subnetzen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Von Netzwerksicherheitsgruppen (NSG) zum Einschränken oder Überwachen des Datenverkehrs nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. verhindern, dass auf Verwaltungsports von nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, aber datenverkehr von virtuellen Netzwerken und Azure Load Balancers zulassen.
Wenn Sie einen virtuellen Azure-Computer (VM) erstellen, müssen Sie ein virtuelles Netzwerk erstellen oder ein vorhandenes virtuelles Netzwerk verwenden und den virtuellen Computer mit einem Subnetz konfigurieren. Stellen Sie sicher, dass für alle bereitgestellten Subnetze eine Netzwerksicherheitsgruppe mit Netzwerkzugriffskontrollen angewendet wurde, die spezifisch für die vertrauenswürdigen Ports und Quellen Ihrer Anwendungen sind.
Referenz: Netzwerk-Sicherheitsgruppen
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierte Definitionen - Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Alle Netzwerkports sollten für Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer virtuellen Maschine zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann angreifern ermöglichen, Ihre Ressourcen als Ziel zu verwenden. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Policy integrierte Definitionen - Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Empfehlungen zur Härtung adaptiver Netzwerke sollten auf internetexponierte virtuelle Maschinen angewendet werden. | Azure Security Center analysiert die Datenverkehrsmuster von internetgebundenen virtuellen Maschinen und bietet Empfehlungen für Netzwerksicherheitsgruppenregeln, die die potenzielle Angriffsfläche reduzieren. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Sichern von Clouddiensten mit Netzwerksteuerelementen
Funktionen
Öffentliches Netzwerkzugriff deaktivieren
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder über eine IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder die Verwendung eines Toggle-Schalters "Öffentlichen Netzwerkzugriff deaktivieren". Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Dienste wie iptables oder firewalld können im Linux-Betriebssystem installiert sein und Netzwerkfilterung bereitstellen, um den öffentlichen Zugriff zu deaktivieren.
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Zentrales Identitäts- und Authentifizierungssystem verwenden
Funktionen
Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf die Datenebene. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Referenz-: Melden Sie sich mit Azure AD und OpenSSH- bei einem virtuellen Linux-Computer in Azure an.
Lokale Authentifizierungsmethoden für den Datenebenenzugriff
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf die Datenebene unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Featurenotizen: Ein lokales Administratorkonto wird standardmäßig während der erstbereitstellung des virtuellen Computers erstellt. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da diese Funktion in einer Standardbereitstellung bereits aktiviert ist.
IM-3: Sichere und automatische Verwaltung von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | False | Kunde |
Featurehinweise: Verwaltete Identität wird traditionell von Linux-VM verwendet, um sich bei anderen Diensten zu authentifizieren. Wenn die Linux-VM die Azure AD-Authentifizierung unterstützt, wird möglicherweise verwaltete Identität unterstützt.
Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory (Azure AD)-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden von der Plattform vollständig gemanagt, regelmäßig aktualisiert und geschützt, um hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien zu vermeiden.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Service-Prinziplae können von Anwendungen verwendet werden, die in der Linux-VM laufen.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Überprüfen Sie diese Sicherheitsfunktion, und ermitteln Sie, ob Ihre Organisation dieses Sicherheitsfeature konfigurieren möchte.
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierte Definitionen - Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Die Gastkonfigurationserweiterung von virtuellen Computern soll mit vom System zugewiesener verwalteter Identität bereitgestellt werden. | Für die Erweiterung "Gastkonfiguration" ist eine vom System zugewiesene verwaltete Identität erforderlich. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht kompatibel, wenn sie die Gastkonfigurationserweiterung installiert haben, aber keine verwaltete Identität des Systems zugewiesen haben. Weitere Informationen finden Sie unter https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
IM-7: Beschränkung des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Datenebenenzugriff kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Verwenden Sie Azure AD als Kernauthentifizierungsplattform und eine Zertifizierungsstelle für SSH in einer Linux-VM mithilfe der zertifikatbasierten Authentifizierung von Azure AD und OpenSSH. Diese Funktionalität ermöglicht es Organisationen, den Zugriff auf VMs mit Azure-rollenbasierter Zugriffssteuerung (RBAC) und Richtlinien für bedingten Zugriff zu verwalten.
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.
Referenz-: Melden Sie sich mit Azure AD und OpenSSH- bei einem virtuellen Linux-Computer in Azure an.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | Falsch | Kunde |
Featurenotizen: Innerhalb der Datenebene oder des Betriebssystems können Dienste Azure Key Vault für Anmeldeinformationen oder geheime Schlüssel aufrufen.
Konfigurationsleitfaden: Stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Einschränken von Hochprivilegierten/Administratoren
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, sollten diese nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da diese Funktion in einer Standardbereitstellung bereits aktiviert ist.
Referenz-: Schnellstart: Erstellen eines virtuellen Linux-Computers im Azure-Portal
PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweise: Verwenden Sie Azure AD als Kernauthentifizierungsplattform und eine Zertifizierungsstelle für SSH in einer Linux-VM mithilfe der zertifikatbasierten Authentifizierung von Azure AD und OpenSSH. Diese Funktionalität ermöglicht Organisationen, den Zugriff auf VMs mit rollenbasierter Zugriffssteuerung mit Azure (RBAC) und Richtlinien für bedingten Zugriff zu verwalten.
Konfigurationsleitfaden: Geben Sie mit RBAC an, wer sich als regulärer Benutzer oder mit Administratorrechten bei einer VM anmelden kann. Wenn Benutzer Ihrem Team beitreten, können Sie die Azure RBAC-Richtlinie für den virtuellen Computer aktualisieren, um den Zugriff entsprechend zu gewähren. Wenn Mitarbeiter Ihre Organisation verlassen und ihre Benutzerkonten deaktiviert oder aus Azure AD entfernt werden, haben sie keinen Zugriff mehr auf Ihre Ressourcen.
Referenz-: Melden Sie sich mit Azure AD und OpenSSH- bei einem virtuellen Linux-Computer in Azure an.
PA-8: Ermitteln des Zugriffsvorgangs für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Der Customer Lockbox-Dienst kann genutzt werden, um auf Unterstützung von Microsoft zuzugreifen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | Falsch | Kunde |
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie die Kunden-Lockbox, um sie zu überprüfen, und genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen vertraulicher Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für vertrauliche Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Service unterstützt die DLP-Lösung zur Überwachung der Bewegung sensibler Daten (in den Inhalten des Kunden). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln vertraulicher Daten während der Übertragung
Funktionen
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | False | Kunde |
Featurenotizen: Bestimmte Kommunikationsprotokolle wie SSH werden standardmäßig verschlüsselt. Andere Dienste wie HTTP müssen jedoch für die Verwendung von TLS für die Verschlüsselung konfiguriert werden.
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, die eine integrierte Datenverschlüsselungsfunktion für unterwegs bieten. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Ältere Versionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung virtueller Computer SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Referenz: In-Transit-Verschlüsselung in VMs
Microsoft Defender für Cloud-Überwachung
Eingebaute Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Windows-Computer sollten so konfiguriert werden, dass sie sichere Kommunikationsprotokolle verwenden. | Um den Datenschutz der über das Internet übermittelten Informationen zu schützen, sollten Ihre Computer die neueste Version des branchenübden kryptografischen Protokolls Transport Layer Security (TLS) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Standardmäßige Verschlüsselung ruhender Daten aktivieren
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Featurenotizen: Standardmäßig verwenden verwaltete Datenträger plattformverwaltete Verschlüsselungsschlüssel. Alle verwalteten Datenträger, Momentaufnahmen, Images und Daten, die auf vorhandene verwaltete Datenträger geschrieben wurden, werden im Ruhezustand automatisch mit von der Plattform verwalteten Schlüsseln verschlüsselt.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da diese Funktion in einer Standardbereitstellung bereits aktiviert ist.
Referenz: Serverseitige Verschlüsselung von Azure-Datenträgerspeicherung – Plattformverwaltete Schlüssel
Microsoft Defender für Cloud-Überwachung
Vordefinierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Virtuelle Maschinen sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln | Standardmäßig werden betriebssystem- und Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt. Temporäre Datenträger, Datencaches und Datenflüsse zwischen Compute und Speicher werden nicht verschlüsselt. Ignorieren Sie diese Empfehlung, wenn: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung auf verwalteten Datenträgern erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen finden Sie unter: Serverseitige Verschlüsselung von Azure Disk Storage: https://aka.ms/disksse, Verschiedene Datenträgerverschlüsselungsangebote: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Standardmäßig werden betriebssystem- und Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt. Temporäre Datenträger und Datencaches sind nicht verschlüsselt, und Daten werden beim Fluss zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Besuchen Sie https://aka.ms/diskencryptioncomparison, um Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0-Vorschau |
DP-5: Verwenden Sie die Kundenschlüsseloption bei der Verschlüsselung ruhender Daten, wenn erforderlich.
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | False | Kunde |
Featurenotizen: Sie können die Verschlüsselung auf der Ebene der einzelnen verwalteten Datenträger mit Ihren eigenen Schlüsseln verwalten. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser Schlüssel verwendet, um den Zugriff auf den Schlüssel zu schützen und zu steuern, der Ihre Daten verschlüsselt. Vom Kunden verwaltete Schlüssel bieten eine größere Flexibilität beim Verwalten von Zugriffssteuerungen.
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Vorschriften erforderlich ist, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe des vom Kunden verwalteten Schlüssels für diese Dienste.
Virtuelle Datenträger auf virtuellen Computern (VM) werden im Ruhezustand mit serverseitiger Verschlüsselung oder Azure-Datenträgerverschlüsselung (ADE) verschlüsselt. Die Azure Disk Encryption nutzt die DM-Crypt-Funktion von Linux, um verwaltete Datenträger mit vom Kunden verwalteten Schlüsseln innerhalb der Gast-VM zu verschlüsseln. Die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln verbessert ADE, indem Sie alle Betriebssystemtypen und -images für Ihre virtuellen Computer verwenden können, indem Sie Daten im Speicherdienst verschlüsseln.
Referenz-: Serverseitige Verschlüsselung von Azure Disk Storage – kundengesteuerte Schlüssel
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimschlüssel oder Zertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Wenn CMK (Customer Managed Key) auf der Ebene der Auslastung, des Dienstes oder der Anwendung verwendet werden muss, befolgen Sie die bewährten Verfahren der Schlüsselverwaltung: Verwenden Sie eine Schlüsselhierarchie, um in Ihrem Schlüsseltresor einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Referenz: Erstellen und Konfigurieren eines Schlüsseldepots für Azure Disk Encryption
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Funktionen
Azure-Richtlinienunterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Azure-Richtlinie kann verwendet werden, um das gewünschte Verhalten für die Windows-VMs und Linux-VMs Ihrer Organisation zu definieren. Mithilfe von Richtlinien kann eine Organisation verschiedene Konventionen und Regeln im gesamten Unternehmen erzwingen und Standardsicherheitskonfigurationen für virtuelle Azure-Computer definieren und implementieren. Die Durchsetzung des gewünschten Verhaltens kann dazu beitragen, Risiken zu minimieren und gleichzeitig zum Erfolg der Organisation beizutragen.
Referenz: Integrierte Azure-Richtlinien-Definitionen für Azure Virtual Machines
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierte Definitionen - Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre virtuellen Computer, um Sicherheitsverbesserungen bereitzustellen, wie z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Bereitstellung und Governance auf Basis des Azure Resource Managers, Zugriff auf verwaltete Identitäten, Zugriff auf den Schlüsseltresor für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Azure Policy integrierte Definitionen - Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
AM-5: Nur genehmigte Anwendungen auf virtuellen Computern verwenden
Funktionen
Microsoft Defender für Cloud – Adaptive Anwendungssteuerelemente
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer mit adaptiven Anwendungssteuerelementen in Microsoft Defender für Cloud ausgeführt werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie adaptive Microsoft Defender für Cloud-Anwendungssteuerelemente, um Anwendungen zu ermitteln, die auf virtuellen Computern (VMs) ausgeführt werden, und generieren Sie eine Anwendungs-Zulassungsliste, in der genehmigte Anwendungen in der VM-Umgebung ausgeführt werden können.
Referenz: Nutzen Sie adaptive Anwendungssteuerelemente, um die Angriffsflächen Ihrer Maschinen zu reduzieren
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierte Definitionen - Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerungen zum Definieren sicherer Anwendungen sollten auf Ihren Computern aktiviert sein | Aktivieren Sie Anwendungssteuerelemente, um die Liste der bekannten sicheren Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden, und benachrichtigen Sie, wenn andere Anwendungen ausgeführt werden. Dadurch können Ihre Computer vor Schadsoftware gehärtet werden. Um das Konfigurieren und Verwalten Ihrer Regeln zu vereinfachen, verwendet Security Center maschinelles Lernen, um die auf jedem Computer ausgeführten Anwendungen zu analysieren und die Liste der bekannten sicheren Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Policy integrierte Definitionen - Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerung zur Definition sicherer Anwendungen sollte auf Ihren Geräten aktiviert werden | Aktivieren Sie Anwendungssteuerelemente, um die Liste der bekannten sicheren Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden, und benachrichtigen Sie, wenn andere Anwendungen ausgeführt werden. Dadurch können Ihre Computer vor Schadsoftware gehärtet werden. Um das Konfigurieren und Verwalten Ihrer Regeln zu vereinfachen, verwendet Security Center maschinelles Lernen, um die auf jedem Computer ausgeführten Anwendungen zu analysieren und die Liste der bekannten sicheren Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Bedrohungserkennungsfunktionen
Funktionen
Microsoft Defender for Service /Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Defender für Server erweitert den Schutz auf Ihre Windows- und Linux-Computer, die in Azure ausgeführt werden. Defender for Servers ist in Microsoft Defender für Endpunkt integriert, um Endpunkterkennung und -reaktion (EDR) bereitzustellen, und bietet außerdem eine Vielzahl zusätzlicher Bedrohungsschutzfeatures, z. B. Sicherheitsgrundwerte und Bewertungen auf Betriebssystemebene, Überprüfung der Sicherheitsrisikobewertung, Adaptive Anwendungssteuerelemente (AAC), Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) und vieles mehr.
Referenz: Einsatz von Defender for Servers planen
Microsoft Defender für Cloud-Überwachung
Vordefinierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard sollte auf Ihren Computern aktiviert sein. | Windows Defender Exploit Guard verwendet den Azure Policy Guest Configuration Agent. Exploit Guard verfügt über vier Komponenten, die für das Sperren von Geräten gegen eine Vielzahl von Angriffsvektoren ausgelegt sind, und blockieren Verhaltensweisen, die häufig bei Schadsoftwareangriffen verwendet werden, während Unternehmen ihre Sicherheitsrisiken und Produktivitätsanforderungen ausgleichen können (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, zum Beispiel ein Speicherkonto oder einen Log Analytics-Arbeitsbereich. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Azure Monitor beginnt beim Erstellen der VM automatisch mit der Erfassung von Metrikdaten für Den Host Ihres virtuellen Computers. Um Protokolle und Leistungsdaten aus dem Gastbetriebssystem des virtuellen Computers zu sammeln, müssen Sie jedoch den Azure Monitor-Agent installieren. Sie können den Agent installieren und die Sammlung entweder mithilfe von VM Insights oder indem Sie eine Datensammlungsregel erstellen, konfigurieren.
Referenz: Log Analytics Agent Übersicht
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierte Definitionen - Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Der Netzwerk-Verkehrsdatensammlungs-Agent sollte auf virtuellen Linux-VMs installiert werden | Security Center verwendet den Microsoft-Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren virtuellen Azure-Computern, um erweiterte Netzwerkschutzfunktionen wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. | AuditIfNotExists, Disabled | 1.0.2-Vorschau |
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherheitslage und Schwachstellenverwaltung.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Funktionen
Azure Automatisierungsstatuskonfiguration
Beschreibung: Azure Automation State Configuration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems beizubehalten. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie die Azure Automation State-Konfiguration, um die Sicherheitskonfiguration des Betriebssystems beizubehalten.
Referenz-: Eine VM mit der gewünschten Zustandskonfiguration konfigurieren
Azure Policy-Gastkonfigurationsagent
Beschreibung: Der Azure Policy-Gastkonfigurationsagent kann als Erweiterung für Compute-Ressourcen installiert oder bereitgestellt werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | falsch | Kunde |
Featurenotizen: Azure Policy Guest Configuration heißt jetzt Azure AutoManage Machine Configuration.
Konfigurationsleitfaden: Verwenden Sie den Gastkonfigurations-Agent für Microsoft Defender für Cloud- und Azure-Richtlinien, um Konfigurationsabweichungen für Ihre Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben.
Referenz: Die Maschinenkonfigurationsfunktion von Azure Automanage verstehen
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten VM-Images oder vordefinierten Images vom Marketplace mit bestimmten basisbasierten Konfigurationen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Lieferanten wie Microsoft, oder erstellen Sie einen gewünschten Basisplan für die sichere Konfiguration in der VM-Imagevorlage.
Referenz: Tutorial: Ein benutzerdefiniertes Image einer Azure VM mit der Azure CLI erstellen
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
Funktionen
Vertrauenswürdiger virtueller Startcomputer
Beschreibung: Trusted Launch schützt vor erweiterten und persistenten Angriffstechniken, indem Infrastrukturtechnologien wie sicherer Start, vTPM und Integritätsüberwachung kombiniert werden. Jede Technologie bietet eine weitere Schutzebene gegen komplexe Bedrohungen. Der vertrauenswürdige Start ermöglicht die sichere Bereitstellung virtueller Computer mit überprüften Startladegeräten, Betriebssystemkernen und Treibern und schützt Schlüssel, Zertifikate und geheime Schlüssel auf den virtuellen Computern sicher. Der vertrauenswürdige Start bietet außerdem Einblicke und Gewissheit über die Integrität der gesamten Boot-Kette und stellt sicher, dass Workloads vertrauenswürdig und überprüfbar sind. Der sichere Start ist in Microsoft Defender für Cloud integriert, um sicherzustellen, dass VMs ordnungsgemäß konfiguriert sind, indem bestätigt wird, dass der virtuelle Computer remote fehlerfrei hochgefahren wurde. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Featurehinweis: Vertrauenswürdiger Start ist für VMs der Generation 2 verfügbar. Der vertrauenswürdige Start erfordert die Erstellung neuer virtueller Computer. Sie können den Modus für vertrauenswürdigen Start bei vorhandenen virtuellen Computern, die ursprünglich ohne ihn erstellt wurden, nicht aktivieren.
Konfigurationsleitfaden: Der vertrauenswürdige Start kann während der Bereitstellung des virtuellen Computers aktiviert werden. Aktivieren Sie alle drei : Sicheres Starten, vTPM und Integritätsstartüberwachung, um den besten Sicherheitsstatus für den virtuellen Computer sicherzustellen. Beachten Sie, dass es einige Voraussetzungen gibt, darunter das Onboarding Ihres Abonnements in Microsoft Defender für Cloud, das Zuweisen bestimmter Azure-Richtlinieninitiativen und das Konfigurieren von Firewallrichtlinien.
Referenz: Bereitstellen einer VM mit aktiviertem vertrauenswürdigem Start
PV-5: Durchführen von Sicherheitsrisikobewertungen
Funktionen
Sicherheitsrisikobewertung mit Microsoft Defender
Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für Cloud oder anderen eingebetteten Microsoft Defender-Diensten (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS) auf Sicherheitsrisiken überprüft werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Folgen Sie Empfehlungen von Microsoft Defender für Cloud zum Durchführen von Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern.
Referenz: Einsatz von Defender for Servers planen
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierte Definitionen - Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Eine Lösung zur Bewertung von Sicherheitslücken sollte auf Ihren virtuellen Maschinen aktiviert sein | Überprüft virtuelle Computer, um zu erkennen, ob sie eine unterstützte Lösung zur Sicherheitsrisikobewertung ausführen. Eine Kernkomponente jedes Cyber-Risiko- und Sicherheitsprogramms ist die Identifizierung und Analyse von Schwachstellen. Das Standardpreisniveau von Azure Security Center umfasst sicherheitsrelevante Überprüfungen auf Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Policy integrierte Definitionen - Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Eine Schwachstellenbewertungslösung sollte auf Ihren virtuellen Computern aktiviert werden. | Überprüft virtuelle Computer, um zu erkennen, ob sie eine unterstützte Lösung zur Sicherheitsrisikobewertung ausführen. Eine Kernkomponente jedes Cyber-Risiko- und Sicherheitsprogramms ist die Identifizierung und Analyse von Schwachstellen. Das Standardpreisniveau von Azure Security Center umfasst sicherheitsrelevante Überprüfungen auf Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: Schnelle und automatische Behebung von Sicherheitsrisiken
Funktionen
Azure Update Manager
Beschreibung: Der Dienst kann Azure Update Manager verwenden, um Patches und Updates automatisch bereitzustellen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Update Manager, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Linux-VMs installiert sind.
Referenz: Verwalten von Updates und Patches für Ihre VMs
Azure-Gastpatchingdienst
Beschreibung: Der Dienst kann Azure-Gastpatching verwenden, um Patches und Updates automatisch bereitzustellen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Dienste können die verschiedenen Updatemechanismen wie Auto OS Image Upgrades und Auto Guest Patchingnutzen. Es wird empfohlen, die neuesten Sicherheits- und kritischen Updates auf das Gastbetriebssystem Ihrer virtuellen Maschine anzuwenden, indem Sie die Grundsätze der sicheren Bereitstellung befolgen.
Mit Auto Guest Patching können Sie Ihre virtuellen Azure-Maschinen automatisch bewerten und aktualisieren, um die Sicherheitskonformität mit den monatlich veröffentlichten kritischen und Sicherheitsupdates zu gewährleisten. Updates werden außerhalb der Hauptgeschäftszeiten durchgeführt, einschließlich VMs innerhalb eines Verfügbarkeits-Sets. Diese Funktion steht für VMSS Flexible Orchestration zur Verfügung, und die Unterstützung für Uniform Orchestration ist in der Zukunftsplanung enthalten.
Wenn Sie eine zustandslose Workload ausführen, sind automatische Betriebssystem-Image-Upgrades ideal geeignet, um das neueste Update für Ihre VMSS Uniform anzuwenden. Mit rollback-Funktion sind diese Updates mit Marketplace- oder benutzerdefinierten Images kompatibel. Zukünftige rollierende Upgrade-Unterstützung auf der Roadmap für Flexible Orchestration.
Referenz: Automatisches VM-Gast-Patching für Azure-VMs
Microsoft Defender für Cloud-Überwachung
Azure Policy integrierte Definitionen - Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Systemupdates sollten auf Ihren Computern installiert werden | Fehlende Sicherheitsupdates auf Ihren Servern werden vom Azure Security Center als Empfehlungen überwacht. | AuditIfNotExists, Disabled | 4.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: System-Updates sollten auf Ihren Rechnern installiert sein (mit Hilfe von Update Center) | Ihre Computer fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig kritische Patches für Sicherheitslöcher. Solche Löcher werden häufig in Schadsoftwareangriffen ausgenutzt, sodass es wichtig ist, Ihre Software auf dem neuesten Stand zu halten. Um alle ausstehenden Patches zu installieren und Ihre Computer zu sichern, führen Sie die Korrekturschritte aus. | AuditIfNotExists, Disabled | 1.0.0-Vorschau- |
Endpunktsicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Endpunktsicherheit.
ES-1: Verwenden der Endpunkterkennung und -reaktion (EDR)
Funktionen
EDR-Lösung
Beschreibung: Endpunkt-Erkennungs- und Reaktionsfunktionen (EDR) wie Azure Defender für Server können auf dem Endpunkt eingesetzt werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | falsch | Kunde |
Konfigurationsleitfaden: Azure Defender für Server (mit microsoft Defender für Endpunkt integriert) bietet EDR-Funktionen, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Verwenden Sie Microsoft Defender für Cloud, um Azure Defender für Server für Ihren Endpunkt bereitzustellen und die Warnungen in Ihre SIEM-Lösung wie Azure Sentinel zu integrieren.
Referenz: Einsatz von Defender for Servers planen
ES-2: Verwenden moderner Antischadsoftware
Funktionen
Antischadsoftware-Lösung
Beschreibung: Anti-Malware-Funktionen wie Microsoft Defender Antivirus und Microsoft Defender for Endpoint können auf dem Endgerät installiert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Für Linux können Kunden die Wahl haben, Microsoft Defender für Endpunkt für Linux zu installieren. Alternativ können Kunden auch Antischadsoftwareprodukte von Drittanbietern installieren.
Referenz: Microsoft Defender for Endpoint unter Linux
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Zustandsprobleme beim Endpunktschutz sollten auf Ihren Rechnern behoben sein | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Zustandsprobleme beim Endpunktschutz sollten auf Ihren Rechnern behoben sein | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: Sicherstellen, dass Antischadsoftware und Signaturen aktualisiert werden
Funktionen
Überwachung des Zustands der Anti-Malware-Lösung
Beschreibung: Die Anti-Malware-Lösung bietet eine Überwachung des Zustands von Plattform und Engine sowie automatische Signatur-Updates. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | False | Kunde |
Featurehinweise: Sicherheitsintelligenz und Produktupdates gelten für Defender for Endpoint, der auf Linux-VMs installiert werden kann.
Konfigurationsleitfaden: Konfigurieren Sie Ihre Antischadsoftwarelösung, um sicherzustellen, dass die Plattform, das Modul und die Signaturen schnell und konsistent aktualisiert werden und ihr Status überwacht werden kann.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.ClassicCompute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Zustandsprobleme beim Endpunktschutz sollten auf Ihren Rechnern behoben sein | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Integrierte Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Endpunktschutz-Sicherheitsprobleme sollten auf Ihren Geräten behoben werden. | Beheben Sie Endpunktschutz-Integritätsprobleme auf Ihren virtuellen Computern, um sie vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Azure Security Center unterstützte Endpunktschutzlösungen werden hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Die Endpunktschutzbewertung ist hier dokumentiert – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Aktivieren von Azure Backup und Ziel-Azure Virtual Machines (VM) sowie die gewünschten Häufigkeits- und Aufbewahrungszeiträume. Dazu gehört die vollständige Systemstatussicherung. Wenn Sie die Azure-Datenträgerverschlüsselung verwenden, verarbeitet die Azure-VM-Sicherung automatisch die Sicherung von vom Kunden verwalteten Schlüsseln. Für virtuelle Azure-Computer können Sie Azure-Richtlinie verwenden, um automatische Sicherungen zu aktivieren.
Referenz-: Sicherungs- und Wiederherstellungsoptionen für virtuelle Computer in Azure
Microsoft Defender für Cloud-Überwachung
Die integrierten Azure-Richtliniendefinitionen – Microsoft.Compute:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Azure Backup sollte für virtuelle Computer aktiviert sein. | Stellen Sie den Schutz Ihrer virtuellen Azure-Computer sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Datenschutzlösung für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Nächste Schritte
- Weitere Informationen finden Sie unter Übersicht über Microsoft Cloud Security Benchmark
- Weitere Informationen zu Azure-Sicherheitsbaselines