Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Der am meisten up-to- Datum azure Security Benchmark ist hier verfügbar.
Der Schwerpunkt des Haltungs- und Sicherheitslückenmanagements liegt auf Kontrollen zur Bewertung und Verbesserung der Azure-Sicherheitslage. Dazu gehören Sicherheitsrisikoüberprüfungen, Penetrationstests und Korrekturen sowie Die Nachverfolgung von Sicherheitskonfigurationen, Berichterstellung und Korrektur in Azure-Ressourcen.
Informationen zur anwendbaren eingebauten Azure-Richtlinie finden Sie in den Details der integrierten Initiative des Azure Security Benchmark Regulatory Compliance: Sicherheitsstatus- und Sicherheitsrisikomanagement.
PV-1: Einrichten sicherer Konfigurationen für Azure-Dienste
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Definieren Sie Sicherheitsleitplanken für Infrastruktur- und DevOps-Teams, indem Sie eine sichere Konfiguration der von ihnen genutzten Azure-Dienste ermöglichen.
Starten Sie Ihre Sicherheitskonfiguration von Azure-Diensten mit den Dienstbasiswerten im Azure Security Benchmark, und passen Sie sie nach Bedarf für Ihre Organisation an.
Verwenden Sie Das Azure Security Center, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren.
Sie können Azure Blueprints verwenden, um die Bereitstellung und Konfiguration von Diensten und Anwendungsumgebungen zu automatisieren, einschließlich Azure Resource Manager-Vorlagen, Azure RBAC-Steuerelemente und Richtlinien in einer einzigen Blueprintdefinition.
Abbildung der Implementierung von Guardrails in der Landungszone im Unternehmensmaßstab
Arbeiten mit Sicherheitsrichtlinien im Azure Security Center
Erstellen und Verwalten von Richtlinien zum Erzwingen der Compliance
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-2: Sichere Konfigurationen für Azure-Dienste erhalten
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-2 | 5.2 | CM-2, CM-6 |
Verwenden Sie das Azure Security Center, um Ihre Konfigurationsbasislinie zu überwachen, und nutzen Sie die Azure-Policy-Regeln [verweigern] und [bereitstellen, falls nicht vorhanden], um eine sichere Konfiguration über Azure-Computerressourcen wie VMs, Container und andere hinweg durchzusetzen.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-3: Einrichten sicherer Konfigurationen für Computeressourcen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Verwenden Sie Azure Security Center und Azure-Richtlinie, um sichere Konfigurationen für alle Computeressourcen einzurichten, einschließlich VMs, Containern und anderen. Darüber hinaus können Sie benutzerdefinierte Betriebssystemimages oder azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des betriebssystems einzurichten, das von Ihrer Organisation benötigt wird.
Laden Sie eine VHD hoch und verwenden Sie sie, um neue Windows-VMs in Azure zu erstellen
Erstellen einer Linux-VM von einem benutzerdefinierten Datenträger mit der Azure CLI
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-4: Sichere Konfigurationen für Rechenressourcen aufrechterhalten
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-4 | 5.2 | CM-2, CM-6 |
Verwenden Sie Azure Security Center und Azure-Richtlinie, um Konfigurationsrisiken für Ihre Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben. Darüber hinaus können Sie Azure Resource Manager-Vorlagen, benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des betriebssystems zu verwalten, das von Ihrer Organisation benötigt wird. Microsoft-VM-Vorlagen in Verbindung mit der Azure Automation State-Konfiguration können bei der Erfüllung und Wartung von Sicherheitsanforderungen helfen.
Beachten Sie außerdem, dass von Microsoft veröffentlichte Azure Marketplace-VM-Images von Microsoft verwaltet und gepflegt werden.
Azure Security Center kann auch Sicherheitsrisiken in Containerimages überprüfen und eine kontinuierliche Überwachung Ihrer Docker-Konfiguration in Containern basierend auf dem CIS Docker Benchmark durchführen. Sie können die Seite mit den Azure Security Center-Empfehlungen verwenden, um Empfehlungen anzuzeigen und Probleme zu beheben.
Implementieren von Empfehlungen zur Bewertung von Sicherheitsrisiken im Azure Security Center
Erstellen eines virtuellen Azure-Computers aus einer ARM-Vorlage
Erstellen eines virtuellen Windows-Computers im Azure-Portal
Informationen zum Herunterladen einer Vorlage für einen virtuellen Computer
Beispielskript zum Hochladen einer VHD in Azure und Erstellen eines neuen virtuellen Computers
Verantwortung: Geteilt
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-5: Sicheres Speichern von benutzerdefinierten Betriebssystem- und Containerimages
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), um sicherzustellen, dass nur autorisierte Benutzer auf Ihre benutzerdefinierten Images zugreifen können. Verwenden Sie einen Azure Shared Image Gallery, um Ihre Bilder für verschiedene Benutzer, Dienstprinzipale oder AD-Gruppen innerhalb Ihrer Organisation freizugeben. Speichern Sie Containerimages in der Azure-Containerregistrierung, und verwenden Sie Azure RBAC, um sicherzustellen, dass nur autorisierte Benutzer Zugriff haben.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-6: Durchführen von Sicherheitsrisikobewertungen für Software
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Folgen Sie den Empfehlungen im Azure Security Center zum Durchführen von Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern, Containerimages und SQL-Servern. Azure Security Center verfügt über einen integrierten Sicherheitsrisikoscanner zum Scannen virtueller Computer.
Verwenden Sie eine Drittanbieterlösung zum Durchführen von Sicherheitsrisikobewertungen auf Netzwerkgeräten und Webanwendungen. Verwenden Sie beim Durchführen von Remotescans kein einzelnes, unbefristetes Administratorkonto. Erwägen Sie die Implementierung der JIT-Bereitstellungsmethode (Just In Time) für das Scankonto. Anmeldeinformationen für das Scankonto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.
Exportieren Sie Scanergebnisse in konsistenten Intervallen, und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob Sicherheitsrisiken behoben wurden. Wenn Sie Empfehlungen für die Sicherheitsrisikoverwaltung verwenden, die vom Azure Security Center vorgeschlagen werden, können Sie im Portal der ausgewählten Scanlösung pivotieren, um verlaufsbezogene Scandaten anzuzeigen.
Implementieren von Empfehlungen zur Bewertung von Sicherheitsrisiken im Azure Security Center
Integrierter Sicherheitsrisikoscanner für virtuelle Computer
Exportieren von Sicherheitsrisikoüberprüfungsergebnissen im Azure Security Center
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-7: Schnelle und automatische Behebung von Softwarerisiken
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Stellen Sie schnell Softwareupdates bereit, um Softwarerisiken in Betriebssystemen und Anwendungen zu beheben.
Verwenden Sie ein allgemeines Risikobewertungsprogramm (z. B. Common Vulnerability Scoring System) oder die von Ihrem Drittanbieter-Scantool bereitgestellten Standardrisikobewertungen und passen Sie an Ihre Umgebung an, wobei berücksichtigt wird, welche Anwendungen ein hohes Sicherheitsrisiko darstellen und welche hohe Verfügbarkeit erfordern.
Verwenden Sie Azure Automation Update Management oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie für Windows-VMs sicher, dass Windows Update aktiviert und automatisch aktualisiert wird.
Verwenden Sie für Drittanbietersoftware eine Drittanbieter-Patchverwaltungslösung oder System Center Updates Publisher für Configuration Manager.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-8: Regelmäßige Angriffssimulation durchführen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
Führen Sie nach Bedarf Penetrationstests oder rote Teamaktivitäten in Ihren Azure-Ressourcen durch, und stellen Sie die Behebung aller kritischen Sicherheitsergebnisse sicher. Befolgen Sie die Microsoft Cloud Penetration Testing Rules of Engagement, um sicherzustellen, dass Ihre Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Verwenden Sie die Strategie und Ausführung von Red Teaming und Live Site Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, -Dienste und -Anwendungen.
Verantwortung: Geteilt
Kundensicherheitsbeteiligte (Weitere Informationen):