Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Das aktuellste up-to-Update des Azure Security Benchmark ist hier verfügbar.
Die Identitätsverwaltung umfasst Kontrollen zum Einrichten einer sicheren Identität und Zugriffssteuerungen mithilfe von Azure Active Directory. Dazu gehören die Verwendung von Single Sign-On, starken Authentifizierungen, verwalteten Identitäten (und Dienstprinzipalen) für Anwendungen, bedingtem Zugriff und der Überwachung von Kontoanomalien.
Informationen zur anwendbaren integrierten Azure Policy finden Sie unter Details zur integrierten Initiative für den Azure-Sicherheitsvergleichstest zur Einhaltung gesetzlicher Vorschriften: Identitätsverwaltung
IM-1: Standardisieren von Azure Active Directory als zentrales Identitäts- und Authentifizierungssystem
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| Chatnachricht-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Active Directory (Azure AD) ist der standardmäßige Identitäts- und Zugriffsverwaltungsdienst von Azure. Sie sollten Azure AD standardisieren, um die Identitäts- und Zugriffsverwaltung Ihrer Organisation in folgenden Bereichen zu steuern:
Microsoft-Cloudressourcen, z. B. das Azure-Portal, Azure Storage, Azure Virtual Machines (Linux und Windows), Azure Key Vault, PaaS und SaaS-Anwendungen.
Die Ressourcen Ihrer Organisation, z. B. Anwendungen in Azure oder die Ressourcen Ihres Unternehmensnetzwerks.
Die Sicherung von Azure AD sollte in der Cloudsicherheitspraxis Ihrer Organisation eine hohe Priorität haben. Azure AD bietet eine Identitätssicherheitsbewertung, mit der Sie Ihren Identitätssicherheitsstatus im Vergleich zu den Best Practice-Empfehlungen von Microsoft bewerten können. Verwenden Sie die Bewertung, um zu beurteilen, wie gut Ihre Konfiguration den Empfehlungen zu bewährten Methoden entspricht, und um Ihren Sicherheitsstatus zu verbessern.
Hinweis: Azure AD unterstützt externe Identitätsanbieter, die es Benutzern ohne Microsoft-Konto ermöglichen, sich mit ihrer externen Identität bei ihren Anwendungen und Ressourcen anzumelden.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
Chat-2: Verwalten von Anwendungsidentitäten sicher und automatisch
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IM-2 | Nicht verfügbar | AC-2, AC-3, IA-2, IA-4, IA-9 |
Verwenden Sie für nicht menschliche Konten, wie z. B. Dienste oder Automatisierung, verwaltete Azure-Identitäten, anstatt ein leistungsfähigeres menschliches Konto für den Zugriff auf Ressourcen oder das Ausführen von Code zu erstellen. Verwaltete Azure-Identitäten können sich bei Azure-Diensten und -Ressourcen authentifizieren, die die Azure AD-Authentifizierung unterstützen. Die Authentifizierung wird durch vordefinierte Zugriffsgewährungsregeln ermöglicht, wodurch hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden werden.
Verwenden Sie für Dienste, die verwaltete Identitäten nicht unterstützen, Azure AD, um stattdessen einen Dienstprinzipal mit eingeschränkten Berechtigungen auf Ressourcenebene zu erstellen. Es wird empfohlen, Dienstprinzipale mit Zertifikatanmeldeinformationen zu konfigurieren und auf geheime Clientschlüssel zurückzugreifen. In beiden Fällen kann Azure Key Vault in Verbindung mit verwalteten Azure-Identitäten verwendet werden, sodass die Laufzeitumgebung (z. B. eine Azure-Funktion) die Anmeldeinformationen aus dem Schlüsseltresor abrufen kann.
Verwenden von Azure Key Vault für die Registrierung von Sicherheitsprinzipalen: authentication#authorize-a-security-principal-to-access-key-vault
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
CHAT-3: Verwenden des einmaligen Azure AD-Anmeldens (Single Sign-On, SSO) für den Anwendungszugriff
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
Azure AD bietet Identitäts- und Zugriffsverwaltung für Azure-Ressourcen, Cloudanwendungen und lokale Anwendungen. Die Identitäts- und Zugriffsverwaltung gilt sowohl für Unternehmensidentitäten wie Mitarbeiter als auch für externe Identitäten wie Partner, Lieferanten und Lieferanten.
Verwenden Sie Azure AD Single Sign-On (Single Sign-On, SSO), um den Zugriff auf die Daten und Ressourcen Ihrer Organisation lokal und in der Cloud zu verwalten und zu sichern. Verbinden Sie alle Ihre Benutzer, Anwendungen und Geräte mit Azure AD, um einen nahtlosen, sicheren Zugriff sowie mehr Transparenz und Kontrolle zu gewährleisten.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
IM-4: Verwenden Sie starke Authentifizierungskontrollen für alle Azure Active Directory-basierten Zugriffe
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| Chat-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD unterstützt starke Authentifizierungskontrollen durch mehrstufige Authentifizierung (MFA) und starke kennwortlose Methoden.
Multi-Faktor-Authentifizierung: Aktivieren Sie Azure AD MFA, und befolgen Sie die Empfehlungen in der Azure Security Center-Sicherheitssteuerung "MFA aktivieren". MFA kann für alle Benutzer, ausgewählte Benutzer oder auf Benutzerebene basierend auf Anmeldebedingungen und Risikofaktoren pro Benutzer erzwungen werden.
Kennwortlose Authentifizierung: Es stehen drei Optionen für die kennwortlose Authentifizierung zur Verfügung: Windows Hello for Business, Microsoft Authenticator-App und lokale Authentifizierungsmethoden wie Smartcards.
Stellen Sie für Administratoren und privilegierte Benutzer sicher, dass die höchste Stufe der starken Authentifizierungsmethode verwendet wird, gefolgt von der Einführung der entsprechenden Richtlinie für die starke Authentifizierung für andere Benutzer.
Wenn die kennwortbasierte Legacyauthentifizierung weiterhin für die Azure AD-Authentifizierung verwendet wird, beachten Sie bitte, dass reine Cloudkonten (Benutzerkonten, die direkt in Azure erstellt werden) über eine standardmäßige grundlegende Kennwortrichtlinie verfügen. Und Hybridkonten (Benutzerkonten, die aus lokalem Active Directory stammen) folgen den lokalen Kennwortrichtlinien. Bei Verwendung der kennwortbasierten Authentifizierung bietet Azure AD eine Kennwortschutzfunktion, die verhindert, dass Benutzer Kennwörter festlegen, die leicht zu erraten sind. Microsoft stellt eine globale Liste gesperrter Kennwörter bereit, die auf der Grundlage von Telemetriedaten aktualisiert wird, und Kunden können die Liste basierend auf ihren Anforderungen (z. B. Branding, kulturelle Bezüge usw.) erweitern. Dieser Passwortschutz kann für reine Cloud- und Hybridkonten verwendet werden.
Hinweis: Die Authentifizierung allein auf der Grundlage von Passwort-Anmeldeinformationen ist anfällig für gängige Angriffsmethoden. Für eine höhere Sicherheit verwenden Sie eine starke Authentifizierung wie MFA und eine Richtlinie für ein sicheres Kennwort. Für Anwendungen und Marketplace-Dienste von Drittanbietern, die möglicherweise über Standardkennwörter verfügen, sollten Sie diese bei der Ersteinrichtung des Dienstes ändern.
Einführung in kennwortlose Authentifizierungsoptionen für Azure Active Directory
Entfernen von ungültigen Kennwörtern mithilfe von Azure AD Password Protection
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
IM-5: Überwachen und Warnen bei Kontoanomalien
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD stellt die folgenden Datenquellen bereit:
Anmeldungen – Der Anmeldebericht enthält Informationen zur Verwendung von verwalteten Anwendungen und Benutzeranmeldungsaktivitäten.
Überwachungsprotokolle: Bietet die Nachverfolgbarkeit über Protokolle für alle Änderungen, die über verschiedene Features in Azure AD vorgenommen wurden. Beispiele für Überwachungsprotokolle für protokollierte Änderungen sind das Hinzufügen oder Entfernen von Benutzern, Apps, Gruppen, Rollen und Richtlinien.
Riskante Anmeldungen – Eine riskante Anmeldung ist ein Indikator für einen Anmeldeversuch, der möglicherweise von jemandem ausgeführt wurde, der nicht der legitime Besitzer eines Benutzerkontos ist.
Benutzer, die für Risiken gekennzeichnet sind – ein riskanter Benutzer ist ein Indikator für ein Benutzerkonto, das möglicherweise kompromittiert wurde.
Diese Datenquellen können in Azure Monitor, Azure Sentinel oder SIEM-Systeme von Drittanbietern integriert werden.
Das Azure Security Center kann auch auf bestimmte verdächtige Aktivitäten aufmerksam machen, z. B. eine übermäßige Anzahl fehlgeschlagener Authentifizierungsversuche und veraltete Konten im Abonnement.
Microsoft Defender for Identity ist eine Sicherheitslösung, die lokale Active Directory-Signale verwenden kann, um komplexe Bedrohungen, kompromittierte Identitäten und böswillige Insideraktionen zu identifizieren, zu erkennen und zu untersuchen.
Identifizieren von Azure AD-Benutzern, die für riskante Aktivitäten gekennzeichnet sind
Überwachen der Identitäts- und Zugriffsaktivitäten von Benutzern im Azure Security Center
Warnungen in Azure Security Center- und Azure Defender-Plänen
Integrieren von Azure-Aktivitätsprotokollen in Azure Monitor
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
IM-6: Einschränken des Zugriffs auf Azure-Ressourcen basierend auf Bedingungen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IM-6 | Nicht verfügbar | AC-2, AC-3 |
Verwenden Sie den bedingten Azure AD-Zugriff für eine präzisere Zugriffssteuerung basierend auf benutzerdefinierten Bedingungen, z. B. dem Erfordernis von Benutzeranmeldungen aus bestimmten IP-Adressbereichen für die Verwendung von MFA. Eine granulare Authentifizierungssitzungsverwaltung kann auch über die Azure AD-Richtlinie für bedingten Zugriff für verschiedene Anwendungsfälle verwendet werden.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
CHAT-7: Unbeabsichtigte Gefährdung von Anmeldeinformationen beseitigen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Implementieren Sie den Azure DevOps-Anmeldeinformationsscanner, um Anmeldeinformationen innerhalb des Codes zu identifizieren. Die Überprüfung von Anmeldeinformationen empfiehlt auch das Verschieben ermittelter Anmeldeinformationen an sicherere Speicherorte wie Azure Key Vault.
Für GitHub können Sie die native Funktion zum Scannen von Geheimnissen verwenden, um Anmeldeinformationen oder andere Formen von Geheimnissen innerhalb des Codes zu identifizieren.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
IM-8: Sicherer Benutzerzugriff auf Legacy-Anwendungen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Stellen Sie sicher, dass Sie über moderne Zugriffskontrollen und Sitzungsüberwachung für Legacy-Anwendungen und die von ihnen gespeicherten und verarbeiteten Daten verfügen. VPNs werden zwar häufig für den Zugriff auf Legacy-Anwendungen verwendet, verfügen jedoch oft nur über eine grundlegende Zugriffskontrolle und eine eingeschränkte Sitzungsüberwachung.
Mit dem Azure AD-Anwendungsproxy können Sie ältere lokale Anwendungen für Remotebenutzer mit einmaligem Anmelden (Single Sign-On, SSO) veröffentlichen und gleichzeitig die Vertrauenswürdigkeit von Remotebenutzern und -geräten mit bedingtem Azure AD-Zugriff explizit überprüfen.
Alternativ ist Microsoft Defender für Cloud Apps ein CASB-Dienst (Cloud Access Security Broker), der Steuerelemente zum Überwachen der Anwendungssitzungen eines Benutzers und zum Blockieren von Aktionen bereitstellen kann (sowohl für lokale Legacyanwendungen als auch für SaaS-Anwendungen (Software as a Service).
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):