Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Verwaltung von Sicherheitsstatus und Schwachstellen konzentriert sich auf Kontrollen zur Bewertung und Verbesserung des Azure-Sicherheitsstatus, einschließlich Schwachstellen-Scans, Penetrationstests und deren Behebung sowie zur Nachverfolgung, Berichterstellung und Korrektur von Sicherheitskonfigurationen in Azure-Ressourcen.
PV-1: Definieren und Einrichten sicherer Konfigurationen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Sicherheitsprinzip: Definieren Sie die Basispläne für sichere Konfigurationen für verschiedene Ressourcentypen in der Cloud. Alternativ können Sie konfigurationsverwaltungstools verwenden, um die Konfigurationsbasislinie automatisch vor oder während der Ressourcenbereitstellung einzurichten, damit die Umgebung nach der Bereitstellung standardmäßig kompatibel sein kann.
Azure-Leitfaden: Verwenden Sie den Azure Security Benchmark und den Dienstbasisplan, um Ihre Konfigurationsbasiswerte für jedes jeweilige Azure-Angebot oder -Dienst zu definieren. Lesen Sie die Azure-Referenzarchitektur und die Cloud Adoption Framework-Zielzonenarchitektur, um die kritischen Sicherheitskontrollen und Konfigurationen zu verstehen, die möglicherweise über Azure-Ressourcen hinweg erforderlich sind.
Verwenden Sie Azure Blueprints, um die Bereitstellung und Konfiguration von Diensten und Anwendungsumgebungen zu automatisieren, einschließlich Azure Resource Manager-Vorlagen, Azure RBAC-Steuerelemente und Richtlinien in einer einzigen Blueprintdefinition.
Implementierung und zusätzlicher Kontext:
- Abbildung der Guardrails-Implementierung in der Enterprise-Scale-Landungszone
- Arbeiten mit Sicherheitsrichtlinien in Microsoft Defender für Cloud
- Lernprogramm: Erstellen und Verwalten von Richtlinien zum Erzwingen der Compliance
- Azure-Blaupausen
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-2: Überwachen und Erzwingen sicherer Konfigurationen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Kontinuierlich überwachen und warnen, wenn eine Abweichung von der definierten Konfigurationsbasislinie besteht. Erzwingen Sie die gewünschte Konfiguration gemäß der Basisplankonfiguration, indem Sie die nicht kompatible Konfiguration verweigern oder eine Konfiguration bereitstellen.
Azure-Leitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde.
Verwenden Sie die Regeltypen "Azure Policy: [verweigern]" und "Azure Policy: [bereitstellen, falls nicht vorhanden]", um eine sichere Konfiguration in Azure-Ressourcen durchzusetzen.
Für die Ressourcenkonfigurationsüberwachung und -erzwingung, die von Der Azure-Richtlinie nicht unterstützt wird, müssen Sie möglicherweise Eigene Skripts schreiben oder Tools von Drittanbietern verwenden, um die Konfigurationsüberwachung und -erzwingung zu implementieren.
Implementierung und zusätzlicher Kontext:
- Grundlegendes zu Azure-Richtlinieneffekten
- Erstellen und Verwalten von Richtlinien zum Erzwingen der Compliance
- Abrufen von Compliancedaten von Azure-Ressourcen
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Definieren Sie die Basispläne für sichere Konfigurationen für Ihre Computeressourcen, z. B. virtuelle Computer und Container. Verwenden Sie Konfigurationsverwaltungstools, um die Konfigurationsbasislinie automatisch vor oder während der Computeressourcenbereitstellung einzurichten, damit die Umgebung nach der Bereitstellung standardmäßig kompatibel sein kann. Verwenden Sie alternativ ein vorkonfiguriertes Image, um die gewünschte Konfigurationsbasislinie in die Vorlage für die Rechnerressourcen-Images zu integrieren.
Azure-Leitfaden: Verwenden Sie azure empfohlene Betriebssystembasispläne (sowohl für Windows als auch Linux) als Benchmark, um Ihre Basisplan für die Berechnungsressourcenkonfiguration zu definieren.
Darüber hinaus können Sie benutzerdefinierte VM-Image oder Containerimages mit Azure Policy-Gastkonfiguration und Azure Automation State Configuration verwenden, um die gewünschte Sicherheitskonfiguration einzurichten.
Implementierung und zusätzlicher Kontext:
- Basisplan für die Linux-Betriebssystemsicherheit
- Windows OS-Sicherheitskonfiguration – Basisplan
- Empfehlung für die Sicherheitskonfiguration für Computeressourcen
- Übersicht über die Azure Automation State Configuration
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2.2 |
Sicherheitsprinzip: Kontinuierlich überwachen und warnen, wenn eine Abweichung von der definierten Konfigurationsbasislinie in Ihren Computeressourcen vorhanden ist. Erzwingen Sie die gewünschte Konfiguration gemäß der Basiskonfiguration, indem Sie die nicht kompatible Konfiguration verweigern oder eine Konfiguration in Computeressourcen bereitstellen.
Azure-Leitfaden: Verwenden Sie den Gastkonfigurations-Agent von Microsoft Defender für Cloud und Azure-Richtlinien, um Konfigurationsabweichungen für Ihre Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben. Darüber hinaus können Sie Azure Resource Manager-Vorlagen, benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Microsoft-VM-Vorlagen in Verbindung mit der Azure Automation State-Konfiguration können bei der Erfüllung und Wartung von Sicherheitsanforderungen helfen.
Hinweis: Azure Marketplace-VM-Images, die von Microsoft veröffentlicht werden, werden von Microsoft verwaltet und gepflegt.
Implementierung und zusätzlicher Kontext:
- Implementieren von Empfehlungen zur Bewertung von Sicherheitsrisiken in Microsoft Defender für Cloud
- Erstellen eines virtuellen Azure-Computers aus einer ARM-Vorlage
- Azure Automation State Configuration (Übersicht)
- Erstellen eines virtuellen Windows-Computers im Azure-Portal
- Containersicherheit in Microsoft Defender für Cloud
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-5: Durchführen von Sicherheitsrisikobewertungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Sicherheitsprinzip: Führen Sie eine Bewertung der Sicherheitsrisiken für Ihre Cloudressourcen auf allen Ebenen in einem festen Zeitplan oder bei Bedarf durch. Verfolgen und vergleichen Sie die Scanergebnisse, um zu überprüfen, ob die Sicherheitsrisiken behoben werden. Die Bewertung sollte alle Arten von Sicherheitsrisiken umfassen, z. B. Sicherheitsrisiken in Azure-Diensten, Netzwerk, Web, Betriebssysteme, Fehlkonfigurationen usw.
Beachten Sie die potenziellen Risiken im Zusammenhang mit dem privilegierten Zugriff, der von den Sicherheitsrisikoscannern verwendet wird. Befolgen Sie die bewährte Methode für die Sicherheit des privilegierten Zugriffs, um alle administrativen Konten zu schützen, die für die Überprüfung verwendet werden.
Azure-Leitfaden: Folgen Sie den Empfehlungen von Microsoft Defender für Cloud zur Durchführung von Schwachstellenanalysen auf Ihren virtuellen Azure-Computern, Containerimages und SQL-Servern. Microsoft Defender für Cloud verfügt über einen integrierten Sicherheitsrisikoscanner für die Überprüfung virtueller Computer. Verwenden einer Drittanbieterlösung zum Durchführen von Sicherheitsrisikobewertungen auf Netzwerkgeräten und Anwendungen (z. B. Webanwendungen)
Exportieren Sie Scanergebnisse in konsistenten Intervallen, und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob Sicherheitsrisiken behoben wurden. Wenn Sie Empfehlungen zur Sicherheitsrisikoverwaltung verwenden, die von Microsoft Defender für Cloud vorgeschlagen werden, können Sie sich in das Portal der ausgewählten Scanlösung pivotieren, um verlaufsbasierte Scandaten anzuzeigen.
Verwenden Sie beim Durchführen von Remotescans kein einzelnes, unbefristetes Administratorkonto. Erwägen Sie die Implementierung der JIT-Bereitstellungsmethode (Just In Time) für das Scankonto. Anmeldeinformationen für das Scankonto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.
Hinweis: Azure Defender-Dienste (einschließlich Defender für Server, Containerregistrierung, App Service, SQL und DNS) betten bestimmte Sicherheitsrisikobewertungsfunktionen ein. Die von Azure Defender-Diensten generierten Warnungen sollten zusammen mit dem Ergebnis des Microsoft Defender for Cloud-Überprüfungstools überwacht und überprüft werden.
Hinweis: Stellen Sie sicher, dass Ihre Setup-E-Mail-Benachrichtigungen in Microsoft Defender für Cloud erfolgen.
Implementierung und zusätzlicher Kontext:
- Implementieren von Empfehlungen zur Bewertung von Sicherheitsrisiken in Microsoft Defender für Cloud
- Integrierter Sicherheitsrisikoscanner für virtuelle Computer
- SQL-Sicherheitsrisikobewertung
- Exportieren von Microsoft Defender für Cloud-Überprüfungsergebnissen
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-6: Schnelle und automatische Behebung von Sicherheitsrisiken
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: FEHLERBEHEBUNG | 6.1, 6.2, 6.5, 11.2 |
Sicherheitsprinzip: Schnelle und automatische Bereitstellung von Patches und Updates zur Behebung von Sicherheitsrisiken in Ihren Cloudressourcen. Verwenden Sie den geeigneten risikobasierten Ansatz, um die Behebung der Sicherheitsrisiken zu priorisieren. Beispielsweise sollten schwerwiegendere Sicherheitsrisiken in einer Ressource mit höherem Wert als höhere Priorität behandelt werden.
Azure-Leitfaden: Verwenden Sie Azure Automation Update Management oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie für Windows-VMs sicher, dass Windows Update aktiviert und automatisch aktualisiert wird.
Verwenden Sie für Drittanbietersoftware eine Drittanbieter-Patchverwaltungslösung oder System Center Updates Publisher für Configuration Manager.
Priorisieren Sie, welche Updates zuerst mit einem allgemeinen Risikobewertungsprogramm (z. B. Common Vulnerability Scoring System) oder den von Ihrem Drittanbieter-Scantool bereitgestellten Standardrisikobewertungen bereitgestellt werden, und passen Sie sie an Ihre Umgebung an. Sie sollten auch berücksichtigen, welche Anwendungen ein hohes Sicherheitsrisiko darstellen und welche anwendungen hohe Betriebszeiten erfordern.
Implementierung und zusätzlicher Kontext:
- Konfigurieren der Updateverwaltung für virtuelle Computer in Azure
- Verwalten von Updates und Patches für Ihre Azure-VMs
Kundensicherheitsbeteiligte (Weitere Informationen):
PV-7: Regelmäßig Red Team-Operationen durchführen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Sicherheitsprinzip: Simulieren Sie reale Angriffe, um eine umfassendere Ansicht der Sicherheitsanfälligkeit Ihrer Organisation zu bieten. Red-Team-Aktivitäten und Penetrationstests ergänzen den traditionellen Ansatz des Schwachstellen-Scannens, um Risiken zu entdecken.
Befolgen Sie bewährte Methoden der Branche, um diese Art von Tests zu entwerfen, vorzubereiten und durchzuführen, um sicherzustellen, dass sie keine Schäden oder Unterbrechungen für Ihre Umgebung verursacht. Dies sollte immer die Diskussion über Testbereiche und Einschränkungen mit relevanten Projektbeteiligten und Ressourcenbesitzern umfassen.
Azure-Leitfaden: Führen Sie nach Bedarf Penetrationstests oder rote Teamaktivitäten in Ihren Azure-Ressourcen durch, und stellen Sie die Behebung aller kritischen Sicherheitsergebnisse sicher.
Befolgen Sie die Microsoft Cloud Penetration Testing Rules of Engagement, um sicherzustellen, dass Ihre Penetrationstests nicht gegen Microsoft-Richtlinien verstoßen. Verwenden Sie die Strategie und Ausführung von Red Teaming und Live Site Penetrationstests für von Microsoft verwaltete Cloudinfrastruktur, -Dienste und -Anwendungen.
Implementierung und zusätzlicher Kontext:
- Penetrationstests in Azure
- Einsatzregeln für Penetrationstests
- Microsoft Cloud Red Teaming
- Technischer Leitfaden zu Tests und Bewertungen der Informationssicherheit
Kundensicherheitsbeteiligte (Weitere Informationen):