Weitere Überlegungen zur Baselinesicherheit

  • 8 Minuten

Es gibt einige weitere Sicherheitsempfehlungen, die Sie befolgen sollten, um allgemeine Sicherheits- und Betriebskontrollen für Ihr Azure-Abonnement festzulegen.

Weitere Sicherheitsempfehlungen

In den folgenden Abschnitten werden weitere Empfehlungen aus CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0 beschrieben. Bei den Empfehlungen sind jeweils auch die grundlegenden Schritte angegeben, die im Azure-Portal ausgeführt werden müssen. Führen Sie diese Schritte für Ihr eigenes Abonnement aus, und verwenden Sie Ihre eigenen Ressourcen, um die einzelnen Sicherheitsempfehlungen zu überprüfen. Beachten Sie, dass Optionen der Ebene 2 einige Features oder Aktivitäten einschränken können. Überlegen Sie daher sorgfältig, welche Sicherheitsoptionen Sie erzwingen möchten.

Festlegen eines Ablaufdatums für alle Schlüssel in Azure Key Vault – Ebene 1

Zusätzlich zum Schlüssel können folgende Attribute für einen Schlüssel in Azure Key Vault angegeben werden. In einer JSON-Anforderung sind das Schlüsselwort des Attributs sowie Klammern ({ }) auch dann erforderlich, wenn kein Attribut angegeben wird. Der Standardwert für das optionale Attribut IntDate lautet beispielsweise forever. Das exp Attribut (Ablaufzeit) identifiziert die Ablaufzeit bei oder nach der der Schlüssel nicht für einen kryptografischen Vorgang verwendet werden darf, mit Ausnahme bestimmter Vorgangstypen unter bestimmten Bedingungen. Für die Verarbeitung des exp Attributs muss das aktuelle Datum und die aktuelle Uhrzeit vor dem im exp Wert festgelegten Ablaufdatum und -uhrzeit liegen.

Es empfiehlt sich, die Schlüssel in Ihrem Schlüsseltresor zu rotieren und für jeden Schlüssel eine explizite Ablaufzeit festzulegen. Dadurch wird sichergestellt, dass Schlüssel nicht über die ihnen zugewiesene Lebensdauer hinaus verwendet werden können. Key Vault speichert und verwaltet geheime Schlüssel als Sequenzen von 8-Bit-Bytes, die als Oktette bezeichnet werden, mit einer maximalen Größe von jeweils 25 KB für jeden Schlüssel. Bei hochvertraulichen Daten sollten zusätzliche Schutzebenen für Daten eingerichtet werden. Ein Beispiel ist die Verschlüsselung von Daten mithilfe eines separaten Schutzschlüssels vor der Speicherung in Key Vault. Führen Sie die folgenden Schritte für alle Schlüssel in jedem Ihrer Schlüsseltresore aus:

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Schlüsseltresore, und wählen Sie diese Option aus.

  2. Wählen Sie einen Schlüsseltresor aus.

  3. Wählen Sie im linken Menü unter "Objekte" die Option "Tasten" aus.

  4. Stellen Sie im Bereich "Schlüssel " für den Schlüsseltresor sicher, dass für jeden Schlüssel im Tresor das Ablaufdatum entsprechend festgelegt ist.

  5. Wenn Sie Einstellungen ändern, wählen Sie " Speichern " in der Menüleiste aus.

Festlegen eines Ablaufdatums für alle Geheimnisse in Azure Key Vault – Ebene 1

Sichere Speicherung und präzise Steuerung des Zugriffs auf Token, Kennwörter, Zertifikate, API-Schlüssel und andere Geheimnisse. Stellen Sie sicher, dass für alle Geheimnisse in Azure Key Vault eine Ablaufzeit festgelegt ist. Führen Sie die folgenden Schritte für alle Geheimnisse in jedem Ihrer Schlüsseltresore aus:

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Schlüsseltresore, und wählen Sie diese Option aus.

  2. Wählen Sie im linken Menü unter "Objekte" "Geheime Schlüssel" aus.

  3. Stellen Sie im Bereich "Geheime Schlüssel " für den Schlüsseltresor sicher, dass für jeden geheimen Schlüssel im Tresor das Ablaufdatum entsprechend festgelegt ist.

    Der folgende Screenshot zeigt, wie Sie ein Ablaufdatum für ein Kennwort festlegen:

    Screenshot, der zeigt, wie ein Ablaufdatum für ein Key Vault Geheimnis festgelegt wird.

  4. Wenn Sie Einstellungen ändern, wählen Sie " Speichern " in der Menüleiste aus.

Festlegen von Ressourcensperren für unternehmenskritische Azure-Ressourcen – Ebene 2

Als Administrator möchten Sie möglicherweise ein Abonnement, eine Ressourcengruppe oder eine Ressource sperren, um zu verhindern, dass andere Benutzer versehentlich eine wichtige Ressource löschen oder ändern. Im Azure-Portal stehen die Sperrebenen Schreibgeschützt und Löschen zur Verfügung. Im Gegensatz zur rollenbasierten Zugriffssteuerung werden Verwaltungssperren verwendet, um eine Einschränkung auf alle Benutzer und Rollen anzuwenden. Azure Resource Manager-Sperren gelten nur für Vorgänge auf Verwaltungsebene (also für Vorgänge, die an https://management.azure.com gesendet werden). Die Ausführung ressourceneigener Funktionen wird durch die Sperren nicht eingeschränkt. Die Ressourcenänderungen sind eingeschränkt, die Ressourcenvorgänge jedoch nicht.

Tipp

Eine Sperre vom Typ Read-only für eine Azure SQL-Datenbank-Instanz sorgt beispielsweise dafür, dass die Datenbank nicht gelöscht oder geändert werden kann. Dadurch wird nicht verhindert, dass Sie Daten in der Datenbank erstellen, aktualisieren oder löschen. Datentransaktionen sind zulässig, da diese Vorgänge nicht an https://management.azure.com gesendet werden.

Führen Sie die folgenden Schritte für alle unternehmenskritischen Ressourcen in Ihrem Azure-Abonnement aus:

  1. Melden Sie sich beim Azure-Portal an. Suchen und wählen Sie Alle Ressourcen aus.

  2. Wählen Sie eine Ressource, eine Ressourcengruppe oder ein Abonnement aus, die bzw. das Sie sperren möchten.

  3. Wählen Sie im Menü unter "Einstellungen"die Option "Sperren" aus.

  4. Wählen Sie im Bereich Sperren auf der Menüleiste die Option Hinzufügen aus.

  5. Geben Sie im Bereich "Sperre hinzufügen " einen Namen für die Sperre ein, und wählen Sie eine Sperrebene aus. Optional können Sie Notizen hinzufügen, die die Sperre beschreiben.

  6. Wählen Sie "OK" aus.

Screenshot, der zeigt, wie Sie eine Ressource im Azure-Portal sperren.