Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Azure Security Benchmark (ASB) bietet präskriptive bewährte Methoden und Empfehlungen, um die Sicherheit von Workloads, Daten und Diensten in Azure zu verbessern.
Dieser Benchmark ist Teil einer Reihe ganzheitlicher Sicherheitsleitlinien, die auch Folgendes umfasst:
- Cloud Adoption Framework – Leitfaden zur Sicherheit, einschließlich Strategie, Rollen und Zuständigkeiten, Azure Top 10 Best Practices für Sicherheit und Referenzimplementierung.
- Azure Well-Architected Framework – Anleitung zum Sichern Ihrer Workloads in Azure.
- Bewährte Methoden für Microsoft-Sicherheit – Empfehlungen mit Beispielen in Azure.
Der Azure Security Benchmark konzentriert sich auf cloudorientierte Kontrollbereiche. Diese Kontrollen entsprechen bekannten Sicherheits-Benchmarks, z. B. denen, die vom Center for Internet Security (CIS) controls Version 7.1 und National Institute of Standards and Technology (NIST) SP 800-53 beschrieben werden. Die folgenden Steuerelemente sind im Azure Security Benchmark enthalten:
| ASB-Kontrolldomänen | BESCHREIBUNG |
|---|---|
| Netzwerksicherheit (NS) | Netzwerksicherheit umfasst Kontrollen zum Absichern und Schützen von Azure-Netzwerken, einschließlich der Absicherung virtueller Netzwerke, der Einrichtung privater Verbindungen, der Verhinderung und Eindämmung externer Angriffe und der Absicherung von DNS. |
| Identitätsverwaltung (IM) | Identitätsverwaltung umfasst Steuerelemente zum Einrichten einer sicheren Identitäts- und Zugriffssteuerung mithilfe von Azure Active Directory, einschließlich der Verwendung von einmaligem Anmelden, starken Authentifizierungen, verwalteten Identitäten (und Dienstprinzipalen) für Anwendungen, bedingten Zugriff und Kontoanomalienüberwachung. |
| Privilegierter Zugriff (PA) | Privileged Access umfasst Steuerelemente zum Schutz des privilegierten Zugriffs auf Ihren Azure-Mandanten und -Ressourcen, einschließlich einer Reihe von Steuerelementen zum Schutz Ihres Verwaltungsmodells, Administrativen Konten und Arbeitsstationen mit privilegiertem Zugriff vor absichtlichen und versehentlichen Risiken. |
| Datenschutz (DP) | Der Datenschutz umfasst die Kontrolle des Datenschutzes bei ruhenden Daten, beim Transfer und über Berechtigungsmechanismen, einschließlich Entdecken, Klassifizieren, Schützen und Überwachen von sensiblen Datenressourcen mithilfe von Zugriffssteuerung, Verschlüsselung und Protokollierung in Azure. |
| Vermögensverwaltung (AM) | Das Asset Management umfasst Kontrollen, um Sicherheit, Sichtbarkeit und Governance über Azure-Ressourcen sicherzustellen, einschließlich Empfehlungen zu Berechtigungen für Sicherheitspersonal, Sicherheitszugriff auf das Bestandsverzeichnis und die Verwaltung von Genehmigungen für Dienste und Ressourcen (Inventarisierung, Verfolgung und Korrektur). |
| Protokollierung und Bedrohungserkennung (LT) | Protokollierung und Bedrohungserkennung umfasst Kontrollen zum Erkennen von Bedrohungen in Azure und das Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Azure-Dienste, einschließlich der Aktivierung von Erkennungs-, Untersuchungs- und Wartungsprozessen mit Steuerelementen, um qualitativ hochwertige Warnungen mit nativer Bedrohungserkennung in Azure-Diensten zu generieren; sie umfasst auch das Sammeln von Protokollen mit Azure Monitor, die zentrale Sicherheitsanalyse mit Azure Sentinel, Zeitsynchronisierung und Protokollaufbewahrung. |
| Reaktion auf Vorfälle (IR) | Die Reaktion auf Vorfälle umfasst Steuerelemente im Lebenszyklus der Reaktion auf Vorfälle – Vorbereitung, Erkennung und Analyse, Eindämmung und Aktivitäten nach dem Vorfall, einschließlich der Verwendung von Azure-Diensten wie Azure Security Center und Sentinel zur Automatisierung des Vorfallreaktionsprozesses. |
| Haltungs- und Sicherheitsrisikomanagement (PV) | Die Verwaltung von Sicherheitsstatus und Schwachstellen konzentriert sich auf Kontrollen zur Bewertung und Verbesserung des Azure-Sicherheitsstatus, einschließlich Schwachstellen-Scans, Penetrationstests und deren Behebung sowie zur Nachverfolgung, Berichterstellung und Korrektur von Sicherheitskonfigurationen in Azure-Ressourcen. |
| Endpunktsicherheit (ES) | Endpunktsicherheit umfasst Kontrollen zur Endpunkterkennung und -antwort, einschließlich des Einsatzes von Endpunkterkennung und -antwort und eines Antischadsoftwarediensts für Endpunkte in Azure-Umgebungen. |
| Sicherung und Wiederherstellung (BR) | Sicherung und Wiederherstellung umfasst Steuerelemente, um sicherzustellen, dass Daten- und Konfigurationssicherungen auf den verschiedenen Dienstebenen ausgeführt, überprüft und geschützt werden. |
| Governance und Strategie (GS) | Governance und Strategie bieten Anleitungen für die Sicherstellung einer kohärenten Sicherheitsstrategie und dokumentierten Governance-Ansatz, um die Sicherheit zu unterstützen und zu gewährleisten, einschließlich der Festlegung von Rollen und Verantwortlichkeiten für die verschiedenen Cloudsicherheitsfunktionen, einheitliche technische Strategie und unterstützende Richtlinien und Standards. |
Empfehlungen für Azure Security-Benchmarks
Jede Empfehlung umfasst die folgenden Informationen:
- Azure-ID: Die Azure Security Benchmark-ID, die der Empfehlung entspricht.
- CIS Controls v7.1 ID(s): Die CIS-Steuerelemente v7.1, die dieser Empfehlung entsprechen.
- NIST SP 800-53 r4 ID(s): Die NIST SP 800-53 r4 (moderate) Steuerelemente, die dieser Empfehlung entsprechen.
- Details: Die Begründung für die Empfehlung und Links zu Anleitungen zur Implementierung. Wenn die Empfehlung vom Azure Security Center unterstützt wird, werden diese Informationen ebenfalls aufgeführt.
- Verantwortung: Ob Der Kunde, der Dienstleister oder beide sind für die Implementierung dieser Empfehlung verantwortlich. Sicherheitsaufgaben werden in der öffentlichen Cloud geteilt. Einige Sicherheitskontrollen sind nur für den Clouddienstanbieter verfügbar, daher ist der Anbieter für deren Bearbeitung verantwortlich. Dies sind allgemeine Beobachtungen – bei einigen einzelnen Diensten unterscheidet sich die Verantwortung von dem, was im Azure Security Benchmark aufgeführt ist. Diese Unterschiede werden in den Basisempfehlungen für den einzelnen Dienst beschrieben.
- Stakeholder der Kundensicherheit: Die Sicherheitsfunktionen in der Kundenorganisation, die für die jeweilige Kontrolle verantwortlich sind, zur Rechenschaft gezogen bzw. konsultiert werden können. Es kann sich von Organisation zu Organisation unterscheiden, abhängig von der Sicherheitsorganisationsstruktur Ihres Unternehmens und den Rollen und Zuständigkeiten, die Sie im Zusammenhang mit Azure-Sicherheit eingerichtet haben.
Hinweis
Die Kontrollzuordnungen zwischen ASB und Branchen-Benchmarks (z. B. NIST und CIS) deuten nur darauf hin, dass ein bestimmtes Azure-Feature verwendet werden kann, um eine in NIST oder CIS definierte Steuerungsanforderung vollständig oder teilweise zu erfüllen. Sie sollten sich bewusst sein, dass diese Implementierung nicht notwendigerweise in die vollständige Einhaltung der entsprechenden Kontrolle in CIS oder NIST übersetzt wird.
Wir freuen uns über Ihr detailliertes Feedback und ihre aktive Teilnahme am Azure Security Benchmark-Aufwand. Wenn Sie dem Azure Security Benchmark-Team direkt Feedback geben möchten, füllen Sie das Formular bei https://aka.ms/AzSecBenchmark.
Herunterladen
Sie können den Azure Security Benchmark im Tabellenkalkulationsformat herunterladen.
Nächste Schritte
- Sehen Sie sich die erste Sicherheitskontrolle an: Netzwerksicherheit
- Lesen Sie die Einführung in die Azure Security Benchmark
- Lernen Sie die Grundlagen der Azure-Sicherheit kennen