Erstellen einer Azure-VM-Baseline

  • 5 Minuten

Azure Policy ist ein Azure-Dienst, mit dem Sie Richtlinien erstellen, zuweisen und verwalten können. Mit den von Ihnen erstellten Richtlinien können Sie verschiedene Regeln und Auswirkungen auf Ihre Ressourcen durchsetzen, so dass diese Ressourcen mit Ihren Unternehmensstandards und Vereinbarungen über Servicelevel konform bleiben. Azure Policy erfüllt diese Anforderung, indem Ihre Ressourcen auf die Nichteinhaltung der zugewiesenen Richtlinien überprüft werden. So können Sie z.B. eine Richtlinie erstellen, die nur eine bestimmte SKU-Größe von VM in Ihrer Umgebung zulässt. Nachdem diese Richtlinie implementiert wurde, wird die Konformität der neuen und vorhandenen Ressourcen ausgewertet. Mit dem richtigen Typ von Richtlinie kann für vorhandene Ressourcen Konformität erzielt werden.

Azure VM-Sicherheitsempfehlungen

Die folgenden Abschnitte beschreiben die Azure VM-Sicherheitsempfehlungen, die im CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 enthalten sind. Bei den Empfehlungen sind jeweils auch die grundlegenden Schritte angegeben, die im Azure-Portal ausgeführt werden müssen. Führen Sie diese Schritte für Ihr eigenes Abonnement aus, und verwenden Sie Ihre eigenen Ressourcen, um die einzelnen Sicherheitsempfehlungen zu überprüfen. Beachten Sie, dass Ebene 2-Optionen einige Funktionen oder Aktivitäten einschränken können, deshalb überlegen Sie sorgfältig, welche Sicherheitsoptionen Sie durchsetzen möchten.

Aktivieren und installieren Sie einen VM-Agenten für Microsoft Defender für Cloud-Datenerfassung - Stufe 1

Microsoft Defender für Cloud lässt Sie wissen, wenn eine VM einen VM-Agent benötigt. Der Agent wird standardmäßig für VMs installiert, die über den Azure Marketplace bereitgestellt werden. Daten werden benötigt, um den Sicherheitsstatus der VM zu bewerten, Sicherheitsempfehlungen zu geben und bei hostbasierten Bedrohungen zu warnen.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  2. Wählen Sie im linken Menü unter Verwaltung die Option Umgebungseinstellungen.

  3. Wählen Sie im Bereich Umgebungseinstellungen Ihr Abonnement aus.

  4. Wählen Sie im linken Menü unter Einstellungen die Option Automatische Bereitstellung.

  5. Wählen Sie für den VM-Agent, den Sie verwenden möchten, die Option Ein aus. Wählen Sie einen Arbeitsbereich aus.

  6. Sollten Sie Einstellungen ändern, wählen Sie auf der Menüleiste die Option Speichern aus.

Screenshot that shows the auto provisioning extension pane, with Log Analytics agent for Azure VMs selected.

Sicherstellen, dass der Betriebssystemdatenträger verschlüsselt ist – Ebene 1

Azure Disk Encryption unterstützt Sie beim Schutz Ihrer Daten gemäß den Sicherheits- und Complianceanforderungen Ihrer Organisation. Azure Disk Encryption:

  • Hierfür wird das BitLocker-Feature von Windows und das DM-Crypt-Feature von Linux verwendet, um Volumeverschlüsselung für das Betriebssystem und die Datenträger von Azure-VMs bereitzustellen.
  • Lässt sich mit Azure Key Vault integrieren, um Ihnen die Kontrolle und Verwaltung von Datenträgerverschlüsselungsschlüsseln und -geheimnissen zu erleichtern.
  • Stellt sicher, dass alle Daten auf den Festplatten der VM im Ruhezustand verschlüsselt sind, wenn sie sich im Azure-Speicher befinden.

Azure Disk Encryption für virtuelle Windows- und Linux-Computer befindet sich in allen öffentlichen Azure-Regionen und Azure Government-Regionen für virtuelle Standardcomputer und virtuelle Computer mit Azure Storage Premium in der Phase „Allgemeine Verfügbarkeit“.

Wenn Sie Microsoft Defender für Cloud verwenden (empfohlen), werden Sie benachrichtigt, wenn Sie über VMs verfügen, die nicht verschlüsselt sind. Führen Sie die folgenden Schritte für jede VM in Ihrem Azure-Abonnement aus.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Virtuelle Computer, und wählen Sie diese Option aus.

  2. Wählen Sie im Menü links unter Einstellungendie Option Datenträger aus.

  3. Unter Betriebssystemdatenträger stellen Sie sicher, dass für den Betriebssystemdatenträger ein Verschlüsselungstyp eingestellt ist.

  4. Stellen Sie unter Datenträger sicher, dass für jeden Datenträger ein Verschlüsselungstyp eingestellt ist.

  5. Sollten Sie Einstellungen ändern, wählen Sie auf der Menüleiste die Option Speichern aus.

Screenshot that shows the Disks pane for virtual machines with the encryption type highlighted.

Stellen Sie sicher, dass nur zugelassene VM-Erweiterungen installiert werden - Ebene 1

Azure-VM-Erweiterungen sind kleine Anwendungen, die Konfigurations- und Automatisierungsaufgaben auf Azure-VMs nach der Bereitstellung ermöglichen. Wenn beispielsweise eine VM eine Softwareinstallation oder einen Virenschutz benötigt oder wenn die VM ein Skript ausführen muss, können Sie eine VM-Erweiterung verwenden. Sie können eine Azure VM-Erweiterung über die Azure CLI, PowerShell, eine Azure Resource Manager-Vorlage oder das Azure-Portal ausführen. Erweiterungen können mit einer neu bereitgestellten VM gebündelt oder für ein bestehendes System ausgeführt werden. Um mit dem Azure-Portal sicherzustellen, dass nur genehmigte Erweiterungen auf Ihren VMs installiert werden, führen Sie die folgenden Schritte für jede VM in Ihrem Azure-Abonnement aus.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Virtuelle Computer, und wählen Sie diese Option aus.

  2. Wählen Sie im Menü auf der linken Seite unter Einstellungen die Option Erweiterungen und Anwendungen aus.

  3. Stellen Sie im Bereich Erweiterungen und Anwendungen sicher, dass die aufgelisteten Erweiterungen für die Verwendung zugelassen sind.

Screenshot that shows V M extensions in the Extensions + applications pane.

Sicherstellen, dass Betriebssystempatches für die VMs installiert sind – Ebene 1

Microsoft Defender für Cloud überprüft Windows- und Linux-VMs und -Computer täglich auf fehlende Betriebssystemupdates. Defender für Cloud ruft eine Liste verfügbarer Sicherheits- und kritischer Updates aus Windows Update oder Windows Server Update Services (WSUS) ab. Die Updates, die Sie erhalten, hängen davon ab, welchen Dienst Sie auf dem Windows-Computer konfigurieren. Defender für Cloud sucht auch nach den neuesten Updates für Linux-Systeme. Falls auf Ihrem virtuellen oder physischen Computer ein Systemupdate fehlt, empfiehlt Defender für Cloud das Anwenden von Systemupdates.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  2. Wählen Sie im linken Menü unter Allgemein die Option Empfehlungen aus.

  3. Vergewissern Sie sich unter Empfehlungen, dass es keine Empfehlungen für Systemaktualisierungen anwenden gibt.

Screenshot of the Microsoft Defender for Cloud Recommendations pane.

Stellen Sie sicher, dass auf VMs eine Endpunktschutzlösung installiert ist und läuft - Stufe 1

Microsoft Defender für Cloud überwacht den Status der Antischadsoftware. Er meldet diesen Status im Bereich Endpunktschutzprobleme. Defender für Cloud hebt Probleme wie erkannte Bedrohungen und unzureichenden Schutz hervor, die Ihre VMs und physischen Computer anfällig für Bedrohungen durch Antischadsoftware machen. Anhand der Informationen im Bereich Endpunktschutzprobleme können Sie damit beginnen, einen Plan zur Behebung der festgestellten Probleme zu erstellen.

Verwenden Sie das gleiche Verfahren wie in der vorangegangenen Empfehlung beschrieben.