Microsoft Cloud Security Benchmark: Zugriff, Daten, Identität, Netzwerk, Endpunkt, Governance, Wiederherstellung, Vorfall und Sicherheitsrisikoverwaltung

15 Minuten

Die Ressourcenverwaltung umfasst Kontrollmechanismen zur Gewährleistung von Transparenz und Governance in Bezug auf die Sicherheit Ihrer Ressourcen. Dazu gehören auch Empfehlungen zu Berechtigungen für das Sicherheitspersonal, zum sicheren Zugriff auf den Ressourcenbestand und zur Verwaltung von Genehmigungen für Dienste und Ressourcen (Bestandsaufnahme, Nachverfolgung und Korrektur).

AM-1: Nachverfolgen des Bestandsbestands und deren Risiken

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
1.1, 1.5, 2.1, 2.4	CM-8, PM-5	2.4

Sicherheitsprinzip: Verfolgen Sie Ihren Ressourcenbestand nach, indem Sie all Ihre Cloudressourcen abfragen und ermitteln. Organisieren Sie Ihre Ressourcen logisch, indem Sie sie basierend auf Diensttyp, Standort oder anderen Merkmalen kategorisieren und gruppieren. Stellen Sie sicher, dass Ihre Sicherheitsorganisation Zugriff auf einen kontinuierlich aktualisierten Bestand von Ressourcen hat.

Stellen Sie sicher, dass Ihre Sicherheitsorganisation die Risiken für Cloudressourcen überwachen kann, indem Sie Erkenntnisse zu Sicherheit und Risiken immer zentral aggregieren.

Azure-Leitfaden: Das Bestandsfeature von Microsoft Defender for Cloud und Azure Resource Graph können alle Ressourcen in Ihren Abonnements abfragen und ermitteln, einschließlich Azure-Dienste, Anwendungen und Netzwerkressourcen. Ordnen Sie Ressourcen logisch gemäß der Taxonomie Ihrer Organisation mithilfe von Tags und anderen Metadaten in Azure (Name, Beschreibung und Kategorie) an.

Stellen Sie sicher, dass Sicherheitsorganisationen Zugriff auf einen kontinuierlich aktualisierten Bestand von Ressourcen in Azure haben. Sicherheitsteams benötigen diesen Bestand häufig, um das potenzielle Risiko ihrer Organisation in Bezug auf neue Risiken zu bewerten, und als Eingabe für kontinuierliche Sicherheitsverbesserungen.

Stellen Sie sicher, dass Sicherheitsorganisationen Berechtigungen vom Typ „Sicherheitsleseberechtigter“ in Ihrem Azure-Mandanten und Ihren Azure-Abonnements erhalten, damit sie Sicherheitsrisiken mithilfe von Microsoft Defender for Cloud überwachen können. Berechtigungen vom Typ „Sicherheitsleseberechtigter“ können allgemein auf einen gesamten Mandanten (Stammverwaltungsgruppe) oder auf Verwaltungsgruppen oder bestimmte Abonnements angewendet werden.

Hinweis

Möglicherweise sind zusätzliche Berechtigungen erforderlich, um Einblicke in Workloads und Dienste zu erhalten.

Google Cloud Platform (GCP)-Leitfaden: Verwenden Sie Google Cloud Asset Inventory, um Bestandsdienste basierend auf einer Zeitreihendatenbank bereitzustellen. Diese Datenbank behält einen fünfwöchigen Verlauf der GCP-Ressourcenmetadaten bei. Der Cloud Asset Inventory-Exportdienst ermöglicht es Ihnen, alle Ressourcenmetadaten mit einem bestimmten Zeitstempel oder den Ereignisänderungsverlauf während eines Zeitraums zu exportieren.

Darüber hinaus unterstützt das Google Cloud Security Command Center eine andere Namenskonvention. Ressourcen sind die Google Cloud-Ressourcen einer Organisation. Die IAM (Identity & Access Management)-Rollen für das Security Command Center können auf Organisations-, Ordner- oder Projektebene erteilt werden. Ihre Fähigkeit zum Anzeigen, Erstellen oder Aktualisieren von Ergebnissen, Ressourcen und Sicherheitsquellen hängt von der Ebene ab, für die Sie Zugriff erhalten haben.

GCP-Implementierung und zusätzlicher Kontext:

Azure-Implementierung und mehr Kontext:

AWS-Leitfaden: Verwenden Sie das Inventory-Feature von AWS Systems Manager, um alle Ressourcen in Ihren EC2-Instanzen abzufragen und zu ermitteln, einschließlich Details auf Anwendungs- und Betriebssystemebene. Verwenden Sie außerdem den AWS Resource Groups Tag Editor, um den AWS-Ressourcenbestand zu durchsuchen.

Ordnen Sie Ressourcen logisch gemäß der Taxonomie Ihrer Organisation mithilfe von Tags und anderen Metadaten in AWS (Name, Beschreibung und Kategorie) an.

Stellen Sie sicher, dass Sicherheitsorganisationen Zugriff auf einen kontinuierlich aktualisierten Bestand von Ressourcen in AWS haben. Sicherheitsteams benötigen diesen Bestand häufig, um das potenzielle Risiko ihrer Organisation in Bezug auf neue Risiken zu bewerten, und als Eingabe für kontinuierliche Sicherheitsverbesserungen.

Hinweis

Möglicherweise sind zusätzliche Berechtigungen erforderlich, um Einblicke in Workloads und Dienste zu erhalten.

AWS-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

AM-2: Ausschließliche Verwendung von genehmigten Diensten

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
2.5, 2.6, 2.7, 4.8	CM-8, PM-5	6.3

Sicherheitsprinzip: Stellen Sie sicher, dass nur genehmigte Clouddienste verwendet werden können, indem Sie überwachen und einschränken, welche Dienste Benutzer in der Umgebung bereitstellen können.

Azure-Leitfaden: Verwenden Sie Azure-Richtlinie, um zu überwachen und einzuschränken, welche Dienste Benutzer in Ihrer Umgebung bereitstellen können. Verwenden Sie Azure Resource Graph, um Ressourcen in ihren Abonnements abzufragen und zu ermitteln. Sie können azure Monitor auch verwenden, um Regeln zu erstellen, um Warnungen auszulösen, wenn ein nicht genehmigter Dienst erkannt wird.

Azure-Implementierung und mehr Kontext:

AWS-Leitfaden: Verwenden Sie AWS Config, um zu überwachen und einzuschränken, welche Dienste Benutzer in Ihrer Umgebung bereitstellen können. Verwenden Sie AWS-Ressourcengruppen, um Ressourcen in ihren Konten abzufragen und zu ermitteln. Sie können CloudWatch und/oder AWS Config auch verwenden, um Regeln zu erstellen, um Warnungen auszulösen, wenn ein nicht genehmigter Dienst erkannt wird.

AWS-Implementierung und zusätzlicher Kontext:

AWS-Ressourcengruppen

GCP-Leitfaden: Verwenden Sie den Google Cloud Organization Policy Service, um zu überwachen und einzuschränken, welche Dienste Benutzer in Ihrer Umgebung bereitstellen können. Sie können Cloud Monitoring auch in Operations Suite und/oder Organisationsrichtlinie verwenden, um Regeln zu erstellen, um Warnungen auszulösen, wenn ein nicht genehmigter Dienst erkannt wird.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

AM-3: Sicherstellen der Sicherheit der Ressourcenlebenszyklusverwaltung

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
1.1, 2.1	CM-8, CM-7	2.4

Sicherheitsprinzip: Stellen Sie sicher, dass Sicherheitsattribute oder Konfigurationen der Ressourcen während des Ressourcenlebenszyklus immer aktualisiert werden.

Azure-Leitfaden: Einrichten oder Aktualisieren von Sicherheitsrichtlinien/Prozessen zur Verwaltung von Ressourcenlebenszyklus für Änderungen. Zu diesen Änderungen gehören Änderungen an Identitätsanbietern und Zugriff, der Datenvertraulichkeitsstufe, Netzwerkkonfiguration und Zuweisung von Adminrechten.

Identifizieren und entfernen Sie Azure-Ressourcen, die nicht mehr benötigt werden.

Azure-Implementierung und zusätzlicher Kontext:

Löschen von Azure-Ressourcengruppen und -Ressourcen

AWS-Leitfaden: Einrichten oder Aktualisieren von Sicherheitsrichtlinien/-prozessen, die sich mit dem Lebenszyklusmanagement von Vermögenswerten in Bezug auf Modifikationen befassen. Zu diesen Änderungen gehören Änderungen an Identitätsanbietern und Zugriff, der Datenvertraulichkeitsstufe, Netzwerkkonfiguration und Zuweisung von Adminrechten.

Identifizieren und entfernen Sie AWS-Ressourcen, wenn sie nicht mehr benötigt werden.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Einrichten oder Aktualisieren von Sicherheitsrichtlinien/-prozessen, die die Verwaltung des Ressourcenlebenszyklus für Änderungen adressieren. Zu diesen Änderungen gehören Änderungen an Identitätsanbietern und Zugriff, sensiblen Daten, der Netzwerkkonfiguration und der Bewertung von Adminrechten. Verwenden Sie das Google Cloud Security Command Center, und überprüfen Sie, ob auf der Registerkarte „Compliance“ gefährdete Ressourcen angezeigt werden.

Verwenden Sie außerdem die automatisierte Bereinigung nicht verwendeter Google Cloud-Projekte und den Cloud Recommender-Dienst, um Empfehlungen und Erkenntnisse zur Verwendung von Ressourcen in Google Cloud bereitzustellen. Diese Empfehlungen und Erkenntnisse sind produkt- oder dienstspezifisch und werden basierend auf heuristischen Methoden, maschinellem Lernen und aktuellem Ressourceneinsatz generiert.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

AM-4: Einschränken des Zugriffs auf die Bestandsverwaltung

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
3.3	AC-3	Nicht verfügbar

Sicherheitsprinzip: Beschränken Sie den Zugriff von benutzenden Personen auf Features für die Ressourcenverwaltung, um versehentliche oder böswillige Änderungen der Ressourcen in Ihrer Cloud zu vermeiden.

Azure-Leitfaden: Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Er bietet eine Verwaltungsebene, über die Sie Ressourcen in Azure erstellen, aktualisieren und löschen können. Verwenden Sie den bedingten Zugriff von Microsoft Entra, um die Interaktion von Benutzern mit Azure Resource Manager zu beschränken, indem Sie "Zugriff blockieren" für die "Microsoft Azure Management"-App konfigurieren.

Verwenden Sie azure Role-based Access Control (RBAC), um Identitäten Rollen zuzuweisen, um ihre Berechtigungen und den Zugriff auf Azure-Ressourcen zu steuern. Eine benutzende Person, der nur die Azure RBAC-Rolle „Leser“ zugewiesen ist, kann beispielsweise alle Ressourcen anzeigen, aber keine Änderungen vornehmen.

Verwenden Sie Ressourcensperren, um Löschungen oder Änderungen an Ressourcen zu verhindern. Ressourcensperren werden über Azure Blueprints verwaltet.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie AWS IAM, um den Zugriff auf eine bestimmte Ressource einzuschränken. Sie können Aktionen vom Typ „Zulässig“ oder „Verweigern“ sowie Bedingungen angeben, unter denen Aktionen ausgelöst werden. Sie können eine Bedingung angeben oder Methoden von Berechtigungen auf Ressourcenebene, ressourcenbasierte Richtlinien, tagbasierte Autorisierung, temporäre Anmeldeinformationen oder dienstverknüpfte Rollen kombinieren, um eine präzise Steuerung der Zugriffssteuerung für Ihre Ressourcen zu erhalten.

AWS-Implementierung und zusätzlicher Kontext:

AWS-Dienste, die mit IAM arbeiten

GCP-Leitfaden: Verwenden Sie das Identity & Access Management (IAM)-System von Google Cloud, um den Zugriff auf bestimmte Ressourcen einzuschränken. Sie können Zulassen oder Verweigern von Aktionen und Bedingungen angeben, unter denen Aktionen ausgelöst werden. Sie können eine Bedingung oder kombinierte Methoden von Berechtigungen auf Ressourcenebene, ressourcenbasierte Richtlinien, tagbasierte Autorisierung, temporäre Anmeldeinformationen oder mit Diensten verknüpfte Rollen angeben, um präzise Zugriffssteuerungen für Ihre Ressourcen zu erhalten.

Darüber hinaus können Sie VPC-Dienstkontrollen verwenden, um sich vor versehentlichen oder gezielten Aktionen durch externe oder interne Akteure zu schützen. Dies trägt dazu bei, das Risiko einer unberechtigten Datenexfiltration aus Google Cloud-Diensten zu minimieren. Mit VPC-Dienstkontrollen können Sie Perimeter erstellen, die die Ressourcen und Daten von Diensten schützen, die Sie explizit angegeben.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

AM-5: Nur genehmigte Anwendungen auf virtuellen Computern verwenden

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
2.5, 2.6, 2.7, 4.8	CM-8, CM-7, CM-10, CM-11	6.3

Sicherheitsprinzip: Stellen Sie sicher, dass nur autorisierte Software ausgeführt wird, indem Sie eine Zulassungsliste erstellen und verhindern, dass die nicht autorisierte Software in Ihrer Umgebung ausgeführt wird.

Azure-Leitfaden: Verwenden Sie adaptive Microsoft Defender for Cloud-Anwendungssteuerelemente, um eine Zulassungsliste für Anwendungen zu ermitteln und zu generieren. Sie können auch adaptive ASC-Anwendungssteuerelemente verwenden, um sicherzustellen, dass nur autorisierte Software ausgeführt werden kann, und alle nicht autorisierten Software wird daran gehindert, auf virtuellen Azure-Computern auszuführen.

Verwenden Sie das Feature „Änderungsnachverfolgung und Bestand“ von Azure Automation, um die Sammlung von Bestandsinformationen von Ihren Windows- und Linux-VMs zu automatisieren. Informationen wie Softwarename, Version, Herausgeber und Aktualisierungszeit sind im Azure-Portal verfügbar. Um das Datum der Softwareinstallation und andere Informationen abzurufen, aktivieren Sie die Diagnose auf Gastebene, und leiten Sie die Windows-Ereignisprotokolle an einen Log Analytics-Arbeitsbereich weiter.

Je nach Typ von Skripts können Sie betriebssystemspezifische Konfigurationen oder externe Ressourcen verwenden, um die Fähigkeit der Benutzer zum Ausführen von Skripts in Azure-Computeressourcen einzuschränken.

Sie können auch eine externe Lösung verwenden, um nicht genehmigte Software zu ermitteln und zu identifizieren.

Azure-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Verwenden Sie Google Cloud VM Manager, um die auf Compute Engines-Instanzen installierten Anwendungen zu ermitteln. Die Verwaltung von Betriebssysteminventur und -konfiguration kann verwendet werden, um sicherzustellen, dass nicht authentifizierte Software auf Compute Engine-Instanzen nicht ausgeführt wird.

Sie können auch eine externe Lösung verwenden, um nicht genehmigte Software zu ermitteln und zu identifizieren.

GCP-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie das Inventory-Feature von AWS Systems Manager, um die in Ihren EC2-Instanzen installierten Anwendungen zu ermitteln. Verwenden Sie AWS Config-Regeln, um sicherzustellen, dass nicht authentifizierte Software auf EC2-Instanzen nicht ausgeführt wird.

Sie können auch eine externe Lösung verwenden, um nicht genehmigte Software zu ermitteln und zu identifizieren.

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

Sicherheitskontrolle: Sicherung und Wiederherstellung

Die Steuerelemente für Sicherung und Wiederherstellung stellen sicher, dass Daten- und Konfigurationssicherungen auf den verschiedenen Dienstebenen ausgeführt, überprüft und geschützt werden.

BR-2: Schützen von Sicherungs- und Wiederherstellungsdaten

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
11.3 USD	CP-6, CP-9	3.4

Sicherheitsprinzip: Stellen Sie sicher, dass Sicherungsdaten und -vorgänge vor Datenexfiltration, Datenkompromittierung, Ransomware/Schadsoftware und böswilligen Insidern geschützt sind. Zu den Sicherheitskontrollen, die angewendet werden sollten, gehören Benutzer- und Netzwerkzugriffskontrolle, Datenverschlüsselung im Ruhezustand und während der Übertragung.

Azure-Leitfaden: Verwenden Sie die mehrstufige Authentifizierung und Azure RBAC, um die kritischen Azure Backup-Vorgänge zu sichern (z. B. Löschen, Ändern der Aufbewahrung, Aktualisierungen der Sicherungskonfiguration). Verwenden Sie für Azure Backup unterstützte Ressourcen Azure RBAC, um Aufgaben zu trennen und einen abgestimmten Zugriff zu ermöglichen, und erstellen Sie private Endpunkte in Ihrem virtuellen Azure-Netzwerk, um Daten aus Ihren Recovery Services-Tresoren sicher zu sichern und wiederherzustellen.

Bei von Azure Backup unterstützten Ressourcen werden Sicherungsdaten automatisch mit azure plattformverwalteten Schlüsseln mit 256-Bit-AES-Verschlüsselung verschlüsselt. Sie können auch die Sicherungen mit einem vom Kunden verwalteten Schlüssel verschlüsseln. Stellen Sie in diesem Fall sicher, dass sich der vom Kunden verwaltete Schlüssel im Azure Key Vault auch im Sicherungsbereich befindet. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, verwenden Sie soft delete and purge protection in Azure Key Vault, um Schlüssel vor versehentlichem oder bösartigem Löschen zu schützen. Für lokale Sicherungen mit Azure Backup erfolgt eine Verschlüsselung im Ruhezustand über die bereitgestellte Passphrase.

Schützen Sie Sicherungsdaten vor versehentlicher oder böswilliger Löschung, z. B. Ransomware-Angriffe/Versuche, Sicherungsdaten zu verschlüsseln oder zu manipulieren. Aktivieren Sie für azure Backup unterstützte Ressourcen das vorläufige Löschen, um die Wiederherstellung von Elementen ohne Datenverlust für bis zu 14 Tage nach einem nicht autorisierten Löschen sicherzustellen und die mehrstufige Authentifizierung mithilfe einer im Azure-Portal generierten PIN zu aktivieren. Aktivieren Sie auch georedundante Speicher- oder regionsübergreifende Wiederherstellung, um sicherzustellen, dass Sicherungsdaten wiederhergestellt werden können, wenn es eine Katastrophe in der primären Region gibt. Sie können auch zonenredundanten Speicher (ZRS) aktivieren, um sicherzustellen, dass Sicherungen während Zonalfehlern wiederhergestellt werden können.

Hinweis

Wenn Sie das systemeigene Sicherungsfeature einer Ressource oder andere Sicherungsdienste als Azure Backup verwenden, lesen Sie die Microsoft Cloud Security Benchmark (und Dienstbasispläne), um die oben genannten Steuerelemente zu implementieren.

Azure-Implementierung und zusätzlicher Kontext:

Übersicht über Sicherheitsfeatures in Azure Backup
Verschlüsselung von Sicherungsdaten mithilfe von kundenseitig verwalteten Schlüsseln
Sicherheitsfeatures für den Schutz von Hybridsicherungen vor Angriffen
Azure Backup – Festlegen der regionsübergreifenden Wiederherstellung

AWS-Leitfaden: Verwenden Sie AWS IAM-Zugriffssteuerung, um AWS Backup zu sichern. Sichern Sie den AWS Backup Service-Zugriff und Sicherungs- und Wiederherstellungspunkte immer. Beispiele für Steuerelemente sind:

Verwenden Sie die mehrstufige Authentifizierung (MFA) für kritische Vorgänge wie das Löschen eines Sicherungs-/Wiederherstellungspunkts.
Verwenden Sie Secure Sockets Layer (SSL)/Transport Layer Security (TLS), um mit AWS-Ressourcen zu kommunizieren.
Verwenden Sie AWS KMS mit AWS Backup, um die Sicherungsdaten entweder mithilfe von kundenverwaltetem CMK oder einem AWS-verwalteten CMK zu verschlüsseln, der dem AWS Backup-Dienst zugeordnet ist.
Verwenden Sie AWS Backup Vault Lock für unveränderliche Speicherung kritischer Daten.
Sichere S3-Buckets durch Zugriffsrichtlinie, Deaktivieren des öffentlichen Zugriffs, Erzwingen der Verschlüsselung ruhender Daten und Versionsverwaltung.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Verwenden Sie dedizierte Konten mit der stärksten Authentifizierung, um wichtige Sicherungs- und Wiederherstellungsvorgänge auszuführen, z. B. Löschen, Ändern der Aufbewahrung, Aktualisierungen der Sicherungskonfiguration. Dedizierte Konten schützen Sicherungsdaten vor versehentlicher oder böswilliger Löschung, z. B. Ransomware-Angriffe/Versuche zum Verschlüsseln oder Manipulieren von Sicherungsdaten.

Verwenden Sie für von GCP Backup unterstützte Ressourcen Google IAM mit Rollen und Berechtigungen, um Aufgaben zu trennen und einen feingranularen Zugriff zu ermöglichen, und richten Sie eine private Service-Zugriffsverbindung zur VPC ein, um Daten sicher aus der Backup/Recovery-Appliance zu sichern und wiederherzustellen.

Sicherungsdaten werden standardmäßig auf Plattformebene mit dem AES-Algorithmus (Advanced Encryption Standard) AES-256 automatisch verschlüsselt.

Hinweis

Wenn Sie das systemeigene Sicherungsfeature einer Ressource oder andere Sicherungsdienste als GCP Backup verwenden, sollten Sie sich auf die entsprechende Richtlinie beziehen, um die Sicherheitskontrollen zu implementieren. Sie können beispielsweise auch bestimmte VM-Instanzen vor dem Löschen schützen, indem Sie die deletionProtection-Eigenschaft für eine VM-Instanzressource festlegen.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

Azure Security Control – Datenschutz

Der Datenschutz umfasst die Kontrolle des Schutzes von Daten im Ruhezustand, während der Übertragung und über autorisierte Zugriffsmechanismen. Dazu gehören das Entdecken, Klassifizieren, Schützen und Überwachen vertraulicher Datenressourcen, wobei Zugriffskontrolle, Verschlüsselung, Schlüsselverwaltung und Zertifikatverwaltung eingesetzt werden.

DP-2: Überwachen von Anomalien und Bedrohungen für vertrauliche Daten

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
3.13	AC-4, SI-4	A3.2

Sicherheitsprinzip: Überwachen sie auf Anomalien rund um vertrauliche Daten, z. B. nicht autorisierte Übertragung von Daten an Standorte außerhalb der Unternehmenssichtbarkeit und -kontrolle. Sie überwachen anomale Aktivitäten (große oder ungewöhnliche Transfers), die auf unautorisierte Datenabflüsse hinweisen könnten.

Azure-Leitfaden: Verwenden Sie Azure Information Protection (AIP), um die klassifizierten und bezeichneten Daten zu überwachen.

Verwenden Sie Microsoft Defender für Storage, Microsoft Defender für SQL, Microsoft Defender für open-source relationale Datenbanken und Microsoft Defender für Cosmos DB, um auf eine anomaliele Übertragung von Informationen hinzuweisen, die möglicherweise auf nicht autorisierte Übertragungen vertraulicher Dateninformationen hinweisen.

Hinweis

Wenn dies zur Einhaltung der Verhinderung von Datenverlust (Data Loss Prevention, DLP) erforderlich ist, können Sie eine hostbasierte DLP-Lösung aus Azure Marketplace oder eine Microsoft 365 DLP-Lösung verwenden, um detektive und/oder präventive Steuerelemente zu erzwingen, um Datenexfiltration zu verhindern.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie AWS Macie, um die Daten zu überwachen, die klassifiziert und gekennzeichnet wurden, und verwenden Sie GuardDuty, um anomale Aktivitäten für einige Ressourcen zu erkennen (S3, EC2 oder Kubernetes oder IAM-Ressourcen). Ergebnisse und Warnungen können mithilfe von EventBridge triaged, analysiert und nachverfolgt und an Microsoft Sentinel oder Security Hub zur Aggregation und Nachverfolgung von Vorfällen weitergeleitet werden.

Sie können Ihre AWS-Konten auch mit Microsoft Defender for Cloud verbinden, um Complianceprüfungen, Containersicherheit und Endpunktsicherheitsfunktionen zu erhalten.

Hinweis

Bei Bedarf für die Einhaltung der Verhinderung von Datenverlust (Data Loss Prevention, DLP) können Sie eine hostbasierte DLP-Lösung aus AWS Marketplace verwenden.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Verwenden Sie das Google Cloud Security Command Center/Ereignis-Bedrohungserkennung/Anomalieerkennung, um auf eine anomaliele Übertragung von Informationen hinzuweisen, die auf nicht autorisierte Übertragungen vertraulicher Daten hinweisen können.

Sie können Ihre GCP-Konten auch mit Microsoft Defender für Cloud für Complianceprüfungen, Containersicherheit und Endpunktsicherheitsfunktionen verbinden.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

DP-3: Verschlüsseln vertraulicher Daten während der Übertragung

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
3,10	SC-8	3.5, 3.6, 4.1

Sicherheitsprinzip: Schützen Sie die Daten während der Übertragung vor "Out-of-Band"-Angriffen (z. B. Der Datenverkehrserfassung) mithilfe von Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.

Legen Sie die Netzwerkgrenze und den Dienstbereich fest, in dem Daten bei der Übertragungsverschlüsselung innerhalb und außerhalb des Netzwerks obligatorisch sind. Obwohl dies bei Datenverkehr in privaten Netzwerken optional ist, ist es für den Datenverkehr in externen und öffentlichen Netzwerken von entscheidender Bedeutung.

Azure-Leitfaden: Erzwingen der sicheren Übertragung in Diensten wie Azure Storage, bei denen ein systemeigenes Feature für die Übertragungsverschlüsselung integriert ist.

Erzwingen Sie HTTPS für Webanwendungsworkloads und -dienste, indem Sie sicherstellen, dass alle Clients, die eine Verbindung mit Ihren Azure-Ressourcen herstellen, Transport Layer Security (TLS) v1.2 oder höher verwenden. Verwenden Sie für die Remoteverwaltung von VMs SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.

Verwenden Sie für die Remoteverwaltung von virtuellen Azure-Computern SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den SFTP/FTPS-Dienst in Azure Storage Blob-, App-Dienst-Apps und Funktions-Apps, anstatt den regulären FTP-Dienst zu verwenden.

Hinweis

Daten bei der Übertragungsverschlüsselung sind für alle Azure-Datenverkehrsvorgänge aktiviert, die zwischen Azure-Rechenzentren reisen. TLS v1.2 oder höher ist standardmäßig für die meisten Azure-Dienste aktiviert. Und einige Dienste wie Azure Storage und Anwendungsgateway können TLS v1.2 oder höher auf der Serverseite erzwingen.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Erzwingen einer sicheren Übertragung in Diensten wie Amazon S3, RDS und CloudFront, wo eine native Datenverschlüsselungsfunktion für die Übertragung eingebaut ist.

Erzwingen Sie HTTPS (z. B. in AWS Elastic Load Balancer) für Workload-Webanwendungen und -Dienste (entweder auf serverseitiger oder clientseitiger Ebene oder auf beiden Seiten), indem Sie sicherstellen, dass alle Clients, die eine Verbindung mit Ihren AWS-Ressourcen herstellen, TLS v1.2 oder höher verwenden.

Verwenden Sie für die Remoteverwaltung von EC2-Instanzen SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den AWS Transfer SFTP- oder FTPS-Dienst anstelle eines regulären FTP-Diensts.

Hinweis

Der gesamte Netzwerkdatenverkehr zwischen AWS-Rechenzentren wird transparent auf physischer Ebene verschlüsselt. Bei Verwendung unterstützter Amazon EC2-Instanztypen wird der gesamte Datenverkehr innerhalb eines REGIONS und zwischen peered VPCs in allen Regionen transparent verschlüsselt. TLS v1.2 oder höher ist standardmäßig für die meisten AWS-Dienste aktiviert. Und einige Dienste wie AWS Load Balancer können TLS v1.2 oder höher auf der Serverseite erzwingen.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Erzwingen der sicheren Übertragung in Diensten wie Google Cloud Storage, bei denen ein systemeigenes Feature für die Übertragungsverschlüsselung integriert ist.

Erzwingen Sie HTTPS für Webanwendungsworkloads und -dienste, um sicherzustellen, dass alle Clients, die eine Verbindung mit Ihren GCP-Ressourcen herstellen, Transport Layer Security (TLS) v1.2 oder höher verwenden.

Für die Remoteverwaltung verwenden Google Cloud Compute Engine SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den SFTP/FTPS-Dienst in Diensten wie Google Cloud Big Query oder Cloud App Engine anstelle eines regulären FTP-Diensts.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
Nicht verfügbar	IA-5, SC-12, SC-28	3.6

Sicherheitsprinzip: Dokumentieren und implementieren Sie einen Enterprise-Kryptografieschlüsselverwaltungsstandard, -prozesse und -verfahren, um Ihren Schlüssellebenszyklus zu steuern. Wenn in den Diensten kundenverwaltete Schlüssel verwendet werden müssen, verwenden Sie einen gesicherten Schlüsseltresordienst für die Schlüsselgenerierung, Verteilung und Speicherung. Rotieren und widerrufen Sie Ihre Schlüssel basierend auf dem definierten Zeitplan und wenn es eine wichtige Einstellung oder Kompromittierung gibt.

Azure-Leitfaden: Verwenden Sie Azure Key Vault, um ihren Lebenszyklus von Verschlüsselungsschlüsseln zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf dem definierten Zeitplan und wenn es eine wichtige Einstellung oder Kompromittierung gibt. Benötigen Sie beim Generieren von Schlüsseln einen bestimmten kryptografischen Typ und eine mindeste Schlüsselgröße.

Wenn sie für die Workloaddienste oder Anwendungen einen vom Kunden verwalteten Schlüssel (Customer Managed Key, CMK) verwenden müssen, stellen Sie sicher, dass Sie die bewährten Methoden befolgen:

Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEY Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren.
Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs in jedem Dienst oder jeder Anwendung implementiert werden.

Um die Lebensdauer und Portabilität Ihres Schlüssels zu maximieren, verwenden Sie Ihren eigenen Schlüssel (BYOK) für die Dienstleistungen (d. h. HSM-geschützte Schlüssel aus Ihren lokalen HSMs in Azure Key Vault importieren). Befolgen Sie die empfohlene Richtlinie, um die Schlüsselgenerierung und Schlüsselübertragung durchzuführen.

Hinweis

Im Folgenden finden Sie die FIPS 140-2-Ebene für Azure Key Vault-Typen und FIPS-Compliance-/Validierungsstufe.

Softwaregeschützte Schlüssel in Tresoren (Premium & Standard SKUs): FIPS 140-2 Level 1
HSM-geschützte Schlüssel in Tresoren (Premium-SKU): FIPS 140-2 Level 2
HSM-geschützte Schlüssel in verwaltetem HSM: FIPS 140-2 Ebene 3

Azure Key Vault Premium verwendet eine freigegebene HSM-Infrastruktur im Back-End. Azure Key Vault Managed HSM verwendet dedizierte, vertrauliche Dienstendpunkte mit einem dedizierten HSM, wenn Sie eine höhere Sicherheitsstufe benötigen.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie AWS Key Management Service (KMS), um Den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in KMS und Ihrem Dienst basierend auf dem definierten Zeitplan und wenn es eine wichtige Einstellung oder Kompromittierung gibt.

Wenn sie einen kundenverwalteten Kundenhauptschlüssel in den Workloaddiensten oder Anwendungen verwenden müssen, stellen Sie sicher, dass Sie die bewährten Methoden befolgen:

Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Dem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem KMS zu generieren.
Stellen Sie sicher, dass Schlüssel bei KMS registriert und über IAM-Richtlinien in jedem Dienst oder jeder Anwendung implementiert werden.

Um die wichtige Materiallebensdauer und Portabilität zu maximieren, bringen Sie Ihren eigenen Schlüssel (BYOK) in die Dienste (d. h. importieren HSM-geschützte Schlüssel aus Ihren lokalen HSMs in KMS oder Cloud HSM). Befolgen Sie die empfohlene Richtlinie, um die Schlüsselgenerierung und Schlüsselübertragung durchzuführen.

Hinweis

AWS KMS verwendet die gemeinsam genutzte HSM-Infrastruktur im Back-End. Verwenden Sie AWS KMS Custom Key Store, der von AWS CloudHSM unterstützt wird, wenn Sie Ihren eigenen Schlüsselspeicher und dedizierte HSMs verwalten müssen (z. B. behördliche Compliance-Anforderung für höhere Schlüsselsicherheit), um Ihre Verschlüsselungsschlüssel zu generieren und zu speichern.

In der Liste finden Sie das FIPS 140-2-Level für die FIPS-Kompatibilitätsebene in AWS KMS und CloudHSM:

AWS KMS-Standard: FIPS 140-2 Level 2 überprüft
AWS KMS mit CloudHSM: FIPS 140-2 Level 3 (für bestimmte Dienste) validiert
AWS CloudHSM: FIPS 140-2 Level 3 validiert

Hinweis

Verwenden Sie für geheime Verwaltung(Anmeldeinformationen, Kennwort, API-Schlüssel usw.) AWS Secrets Manager.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Verwenden Sie Cloud Key Management Service (Cloud KMS), um Verschlüsselungsschlüssellebenszyklus in kompatiblen Google Cloud-Diensten und in Ihren Workload-Anwendungen zu erstellen und zu verwalten. Rotieren und widerrufen Sie Ihre Schlüssel in Cloud KMS und Ihrem Dienst basierend auf dem definierten Zeitplan und wenn es eine wichtige Einstellung oder Kompromittierung gibt.

Verwenden Sie den Cloud HSM-Dienst von Google, um Hardware-gesicherte Schlüssel für Cloud KMS (Key Management Service) bereitzustellen. Es bietet Ihnen die Möglichkeit, Ihre eigenen kryptografischen Schlüssel zu verwalten und zu verwenden, während sie durch vollständig verwaltete Hardwaresicherheitsmodule (HSM) geschützt werden.

Der Cloud HSM-Dienst verwendet HSMs, die FIPS 140-2 Level 3 validiert sind und immer im FIPS-Modus ausgeführt werden. FIPS 140-2 Level 3 zertifiziert und wird immer im FIPS-Modus ausgeführt. DER FIPS-Standard gibt die kryptografischen Algorithmen und die Zufallszahlengenerierung an, die von den HSMs verwendet werden.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
Nicht verfügbar	IA-5, SC-12, SC-17	3.6

Sicherheitsprinzip: Dokumentieren und implementieren Sie einen Enterprise-Zertifikatverwaltungsstandard, Prozesse und Verfahren, die die Zertifikatlebenszyklussteuerung und Zertifikatrichtlinien umfassen (wenn eine Public Key-Infrastruktur erforderlich ist).

Stellen Sie sicher, dass Zertifikate, die von den kritischen Diensten in Ihrer Organisation verwendet werden, inventarisiert, nachverfolgt, überwacht und erneuert werden, indem Sie einen automatisierten Mechanismus verwenden, um Dienstunterbrechungen zu vermeiden.

Azure-Leitfaden: Verwenden von Azure Key Vault zum Erstellen und Steuern des Zertifikatlebenszyklus, einschließlich Erstellung/Import, Drehung, Sperrung, Speicher und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, übermäßig lange Gültigkeitsdauer, unsichere Kryptografie usw. Richten Sie die automatische Drehung des Zertifikats in Azure Key Vault ein und unterstützte Azure-Dienste basierend auf dem definierten Zeitplan und wann ein Zertifikat abläuft. Wenn die automatische Drehung in der Front-End-Anwendung nicht unterstützt wird, verwenden Sie eine manuelle Drehung in Azure Key Vault.

Vermeiden Sie die Verwendung eines selbstsignierten Zertifikats und eines Wildcardzertifikats in Ihren kritischen Diensten aufgrund der eingeschränkten Sicherheitsüberprüfung. Stattdessen können Sie öffentliche signierte Zertifikate in Azure Key Vault erstellen. Die folgenden Zertifizierungsstellen (Certificate Authorities, CAs) sind die Partneranbieter, die derzeit in Azure Key Vault integriert sind.

DigiCert: Azure Key Vault bietet OV TLS/SSL-Zertifikate mit DigiCert an.
GlobalSign: Azure Key Vault bietet OV TLS/SSL-Zertifikate mit GlobalSign.

Hinweis

Verwenden Sie nur genehmigte CAs, und stellen Sie sicher, dass bekannte fehlerhafte Stamm-/Zwischenzertifikate deaktiviert sind, die von diesen Zertifizierungsstellen ausgestellt wurden.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie AWS Certificate Manager (ACM), um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung/Import, Drehung, Sperrung, Speicher und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, übermäßig lange Gültigkeitsdauer, unsichere Kryptografie usw. Richten Sie die automatische Drehung des Zertifikats in ACM und unterstützte AWS-Dienste basierend auf dem definierten Zeitplan und wann ein Zertifikat abläuft. Wenn die automatische Drehung in der Front-End-Anwendung nicht unterstützt wird, verwenden Sie die manuelle Drehung in ACM. In der Zwischenzeit sollten Sie ihren Zertifikatverlängerungsstatus immer nachverfolgen, um die Gültigkeit des Zertifikats sicherzustellen.

Vermeiden Sie die Verwendung eines selbstsignierten Zertifikats und eines Wildcardzertifikats in Ihren kritischen Diensten aufgrund der eingeschränkten Sicherheitsüberprüfung. Erstellen Sie stattdessen öffentliche signierte Zertifikate (signiert von der Amazon-Zertifizierungsstelle) in ACM, und stellen Sie sie programmgesteuert in Diensten wie CloudFront, Load Balancers, API-Gateway usw. bereit. Sie können auch ACM verwenden, um Ihre private Zertifizierungsstelle (CA) einzurichten, um die privaten Zertifikate zu signieren.

Hinweis

Verwenden Sie nur eine genehmigte Zertifizierungsstelle, und stellen Sie sicher, dass bekannte fehlerhafte CA-Stamm-/Zwischenzertifikate, die von diesen Zertifizierungsstellen ausgestellt wurden, deaktiviert sind.

AWS-Implementierung und zusätzlicher Kontext:

AWS-Zertifikat-Manager – Überprüfen des Verlängerungsstatus eines Zertifikats

GCP-Leitfaden: Verwenden Sie den Google Cloud Certificate Manager, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung/Import, Drehung, Sperrung, Speicher und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, übermäßig lange Gültigkeitsdauer, unsichere Kryptografie usw. Richten Sie die automatische Drehung des Zertifikats im Zertifikat-Manager und unterstützte GCP-Dienste basierend auf dem definierten Zeitplan und wann ein Zertifikat abläuft. Wenn die automatische Drehung in der Front-End-Anwendung nicht unterstützt wird, verwenden Sie die manuelle Drehung im Zertifikat-Manager. In der Zwischenzeit sollten Sie ihren Zertifikatverlängerungsstatus immer nachverfolgen, um die Gültigkeit des Zertifikats sicherzustellen.

Vermeiden Sie die Verwendung eines selbstsignierten Zertifikats und eines Wildcardzertifikats in Ihren kritischen Diensten aufgrund der eingeschränkten Sicherheitsüberprüfung. Stattdessen können Sie signierte öffentliche Zertifikate im Zertifikat-Manager erstellen und programmgesteuert in Diensten wie Load Balancer und Cloud DNS usw. bereitstellen. Sie können auch den Zertifizierungsstellendienst verwenden, um Ihre private Zertifizierungsstelle (Ca) einzurichten, um die privaten Zertifikate zu signieren.

Hinweis

Sie können auch den Google Cloud Secret Manager verwenden, um TLS-Zertifikate zu speichern.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

DP-8: Sicherstellen der Sicherheit des Schlüssel- und Zertifikat-Repositorys

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
Nicht verfügbar	IA-5, SC-12, SC-17	3.6

Sicherheitsprinzip: Stellen Sie sicher, dass der Schlüsseltresordienst für die Verwaltung des kryptografischen Schlüssels und des Zertifikatlebenszyklus verwendet wird. Härten Sie Ihren Schlüsseltresordienst durch Zugriffssteuerung, Netzwerksicherheit, Protokollierung und Überwachung und Sicherung, um sicherzustellen, dass Schlüssel und Zertifikate immer mit der maximalen Sicherheit geschützt werden.

Azure-Leitfaden: Sichern Sie Ihre kryptografischen Schlüssel und Zertifikate, indem Sie Ihren Azure Key Vault-Dienst über die folgenden Steuerelemente härten:

Implementieren Sie die Zugriffssteuerung mithilfe von RBAC-Richtlinien in Azure Key Vault Managed HSM auf der schlüsselbasierten Ebene, um sicherzustellen, dass die geringste Berechtigung und Trennung von Aufgabenprinzipien eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung der Aufgaben für Benutzer vorhanden ist, die Verschlüsselungsschlüssel verwalten, damit sie nicht auf verschlüsselte Daten zugreifen können und umgekehrt. Erstellen Sie für Azure Key Vault Standard und Premium eindeutige Tresore für verschiedene Anwendungen, um sicherzustellen, dass die geringsten Berechtigungen und Trennungen von Aufgabenprinzipien eingehalten werden.
Aktivieren Sie die Azure Key Vault-Protokollierung, um sicherzustellen, dass wichtige Verwaltungsebenen- und Datenebenenaktivitäten protokolliert werden.
Sichern sie den Azure Key Vault mithilfe von privatem Link und der Azure-Firewall, um eine minimale Gefährdung des Diensts sicherzustellen
Verwenden Sie verwaltete Identität, um auf in Azure Key Vault gespeicherte Schlüssel in Ihren Workloadanwendungen zuzugreifen.
Stellen Sie beim Löschen von Daten sicher, dass Ihre Schlüssel nicht gelöscht werden, bevor die tatsächlichen Daten, Sicherungen und Archive gelöscht werden.
Sichern Sie Ihre Schlüssel und Zertifikate mithilfe von Azure Key Vault. Aktivieren Sie den Schutz vor vorläufigem Löschen und Löschen, um versehentliche Löschungen von Schlüsseln zu vermeiden. Wenn Schlüssel gelöscht werden müssen, sollten Sie Schlüssel deaktivieren, anstatt sie zu löschen, um versehentliches Löschen von Schlüsseln und kryptografischer Löschung von Daten zu vermeiden.
Um Ihre eigenen Schlüssel (BYOK)-Anwendungsfälle mitzubringen, generieren Sie Schlüssel in einem lokalen HSM, und importieren Sie sie, um die Lebensdauer und Portabilität der Schlüssel zu maximieren.
Speichern Sie Schlüssel niemals im Nur-Text-Format außerhalb des Azure Key Vault. Schlüssel in allen Schlüsseltresordiensten können nicht standardmäßig exportiert werden.
Verwenden Sie HSM-gesicherte Schlüsseltypen (RSA-HSM) in Azure Key Vault Premium und Azure Managed HSM für den Hardwareschutz und die stärksten FIPS-Ebenen.

Aktivieren Sie Microsoft Defender für Key Vault, um nativen, erweiterten Bedrohungsschutz für Azure Key Vault bereitzustellen und eine zusätzliche Ebene an Sicherheitsinformationen zu bieten.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Für die Sicherheit kryptografischer Schlüssel sichern Sie Ihre Schlüssel, indem Sie Ihren AWS Key Management Service (KMS)-Dienst über die folgenden Steuerelemente härten:

Implementieren Sie die Zugriffssteuerung mithilfe von Schlüsselrichtlinien (Zugriffssteuerung auf Schlüsselebene) mit IAM-Richtlinien (identitätsbasierte Zugriffssteuerung), um sicherzustellen, dass die geringsten Berechtigungen und Aufgabentrennungen eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung der Aufgaben für Benutzer vorhanden ist, die Verschlüsselungsschlüssel verwalten, damit sie nicht auf verschlüsselte Daten zugreifen können und umgekehrt.
Verwenden Sie Detektivsteuerelemente wie CloudTrails, um die Verwendung von Schlüsseln in KMS zu protokollieren und zu verfolgen und Sie bei kritischen Aktionen zu benachrichtigen.
Speichern Sie Schlüssel niemals im Nur-Text-Format außerhalb von KMS.
Wenn Schlüssel gelöscht werden müssen, sollten Sie schlüssel in KMS deaktivieren, anstatt sie zu löschen, um versehentliches Löschen von Schlüsseln und kryptografischer Löschung von Daten zu vermeiden.
Stellen Sie beim Löschen von Daten sicher, dass Ihre Schlüssel nicht gelöscht werden, bevor die tatsächlichen Daten, Sicherungen und Archive gelöscht werden.
Für Anwendungsfälle mit "Bring Your Own Key" (BYOK) generieren Sie Schlüssel in einem unternehmensinternen HSM und importieren Sie sie, um die Lebensdauer und Portabilität der Schlüssel zu maximieren.

Sichern Sie Ihre Zertifikate für die Sicherheit von Zertifikaten, indem Sie Ihren AWS Certificate Manager (ACM)-Dienst über die folgenden Steuerelemente härten:

Implementieren Sie die Zugriffssteuerung mithilfe von Richtlinien auf Ressourcenebene mit IAM-Richtlinien (identitätsbasierte Zugriffssteuerung), um sicherzustellen, dass die geringste Berechtigung und Trennung von Aufgabenprinzipien eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung von Aufgaben für Benutzerkonten vorhanden ist: Benutzerkonten, die Zertifikate generieren, sind von den Benutzerkonten getrennt, die nur schreibgeschützten Zugriff auf Zertifikate erfordern.
Verwenden Sie Detektivsteuerelemente wie CloudTrails, um die Verwendung der Zertifikate in ACM zu protokollieren und nachzuverfolgen und Sie bei kritischen Aktionen zu benachrichtigen.
Befolgen Sie die KMS-Sicherheitsanleitungen, um Ihren privaten Schlüssel (generiert für Zertifikatanforderung) zu schützen, der für die Integration von Dienstzertifikaten verwendet wird.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Sichern Sie Ihre Schlüssel für die Sicherheit kryptografischer Schlüssel, indem Sie Ihren Schlüsselverwaltungsdienst über die folgenden Steuerelemente härten:

Implementieren Sie die Zugriffssteuerung mithilfe von IAM-Rollen, um sicherzustellen, dass die geringste Berechtigung und Trennung von Aufgabenprinzipien eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung der Aufgaben für Benutzer vorhanden ist, die Verschlüsselungsschlüssel verwalten, damit sie nicht auf verschlüsselte Daten zugreifen können und umgekehrt.
Erstellen Sie für jedes Projekt einen separaten Schlüsselring, mit dem Sie den Zugriff auf die Schlüssel nach dem Prinzip der minimalen Rechte verwalten und steuern können. Außerdem ist es einfacher, zu überwachen, wer wann auf welche Schlüssel zugreifen kann.
Aktivieren Sie die automatische Drehung von Schlüsseln, um sicherzustellen, dass Schlüssel regelmäßig aktualisiert und aktualisiert werden. Dies trägt zum Schutz vor potenziellen Sicherheitsbedrohungen wie Brute-Force-Angriffen oder böswilligen Akteuren bei, die versuchen, Zugriff auf vertrauliche Informationen zu erhalten.
Richten Sie eine Überwachungsprotokollsenke ein, um alle Aktivitäten nachzuverfolgen, die in Ihrer GCP KMS-Umgebung auftreten.

Sichern Sie Ihre Zertifikate für die Sicherheit von Zertifikaten, indem Sie Ihren GCP-Zertifikat-Manager und den Zertifizierungsstellendienst über die folgenden Steuerelemente schützen:

Implementieren Sie die Zugriffssteuerung mithilfe von Richtlinien auf Ressourcenebene mit IAM-Richtlinien (identitätsbasierte Zugriffssteuerung), um sicherzustellen, dass die geringste Berechtigung und Trennung von Aufgabenprinzipien eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung von Aufgaben für Benutzerkonten vorhanden ist: Benutzerkonten, die Zertifikate generieren, sind von den Benutzerkonten getrennt, die nur schreibgeschützten Zugriff auf Zertifikate erfordern.
Verwenden Sie detektive Steuerelemente wie Cloudüberwachungsprotokolle, um die Verwendung der Zertifikate im Zertifikat-Manager zu protokollieren und nachzuverfolgen und Sie bei kritischen Aktionen zu benachrichtigen.
Der geheime Manager unterstützt auch den Speicher des TLS-Zertifikats. Sie müssen der ähnlichen Sicherheitspraxis folgen, um die Sicherheitskontrollen im Geheimen Manager zu implementieren.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

Sicherheitskontrolle: Endpunktsicherheit

Die Endpunktsicherheit umfasst Kontrollmechanismen zur Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR) sowie zur Nutzung von EDR- und Antimalwarediensten für Endpunkte in Cloudumgebungen.

ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
13.7	SC-3, SI-2, SI-3, SI-16	11,5

Sicherheitsprinzip: Aktivieren Sie EDR-Funktionen (Endpoint Detection and Response, Endpunkterkennung und -reaktion) für VMs, und integrieren Sie sie in SIEM- und Sicherheitsvorgänge.

Azure-Leitfaden: Microsoft Defender for Servers (mit Integration von Microsoft Defender for Endpunkt) bietet EDR-Funktionen, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren.

Verwenden Sie Microsoft Defender for Cloud, um Microsoft Defender für Server auf Ihren Endpunkten bereitzustellen und die Warnungen in Ihre SIEM-Lösung wie Microsoft Sentinel zu integrieren.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Integrieren Sie Ihr AWS-Konto in Microsoft Defender for Cloud und stellen Sie Microsoft Defender für Server (mit Microsoft Defender für Endpunkt integriert) auf Ihren EC2-Instanzen bereit, um EDR-Funktionen bereitzustellen, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren.

Alternativ können Sie die integrierte Threat Intelligence-Funktion von Amazon GuardDuty verwenden, um Ihre EC2-Instanzen zu überwachen und zu schützen. Amazon GuardDuty kann anomale Aktivitäten wie Aktivitäten erkennen, die eine Instanzkompromittierung angeben, z. B. Krypto-Mining, Schadsoftware mithilfe von Algorithmen zur Domänengenerierung (DGAs), ausgehende Denial of Service-Aktivität, ungewöhnlich hohe Anzahl von Netzwerkdatenverkehr, ungewöhnliche Netzwerkprotokolle, ausgehende Instanzkommunikation mit einer bekannten bösartigen IP, temporäre Amazon EC2-Anmeldeinformationen, die von einer externen IP-Adresse verwendet werden, und Datenexfiltration mit DNS.

AWS-Implementierung und zusätzlicher Kontext:

Schützen Ihrer Endpunkte mit der integrierten EDR-Lösung von Defender for Cloud

GCP-Leitfaden: Integrieren Sie Ihr GCP-Projekt in Microsoft Defender for Cloud und stellen Sie Microsoft Defender für Server (mit Microsoft Defender für Endpunkt integriert) auf Ihren virtuellen Computerinstanzen bereit, um EDR-Funktionen bereitzustellen, um erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren.

Alternativ können Sie das Security Command Center von Google für integrierte Bedrohungserkennung verwenden, um Ihre Instanzen des virtuellen Computers zu überwachen und zu schützen. Das Security Command Center kann anomale Aktivitäten wie potenziell durchleckte Anmeldeinformationen, Kryptowährungsmining, potenziell schädliche Anwendungen, böswillige Netzwerkaktivitäten und vieles mehr erkennen.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

ES-2: Verwenden moderner Antischadsoftware

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
10.1	SC-3, SI-2, SI-3, SI-16	5,1

Sicherheitsprinzip: Verwenden Sie Antimalwarelösungen (auch als Endpunktschutz bezeichnet), die Echtzeitschutz und regelmäßiges Scannen bieten.

Azure-Leitfaden: Microsoft Defender für Cloud kann die Verwendung vieler beliebter Antischadsoftware-Lösungen für Ihre virtuellen Computer und lokalen Computer automatisch identifizieren, wobei Azure Arc konfiguriert ist und den Status des Endpunktschutzes meldet und Empfehlungen abgeben kann.

Microsoft Defender Antivirus ist die Antischadsoftware-Standardlösung für Windows Server 2016 und höher. Verwenden Sie für Windows Server 2012 R2 die Microsoft-Antischadsoftwareerweiterung, um SCEP (System Center Endpoint Protection) zu aktivieren. Verwenden Sie für virtuelle Linux-Computer Microsoft Defender for Endpoint unter Linux für das Endpunktschutz-Feature.

Sowohl für Windows als auch für Linux können Sie Microsoft Defender for Cloud verwenden, um den Integritätsstatus der Antimalwarelösung zu ermitteln und zu bewerten.

Hinweis

Sie können auch Microsoft Defender for Cloud Defender for Storage verwenden, um Schadsoftware zu erkennen, die in Azure Storage-Konten hochgeladen wurde.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Onboarding Ihres AWS-Kontos in Microsoft Defender for Cloud, damit Microsoft Defender for Cloud die Verwendung einiger beliebter Anti-Malware-Lösungen für EC2-Instanzen automatisch identifizieren kann, wobei Azure Arc konfiguriert und den Status des Endpunktschutzes meldet und Empfehlungen abgeben kann.

Stellen Sie Microsoft Defender Antivirus bereit, die die standardmäßige Antischadsoftwarelösung für Windows Server 2016 und höher ist. Verwenden Sie für EC2-Instanzen mit Windows Server 2012 R2 die Microsoft-Antischadsoftwareerweiterung, um SCEP (System Center Endpoint Protection) zu aktivieren. Verwenden Sie für EC2-Instanzen, auf denen Linux ausgeführt wird, Microsoft Defender for Endpoint unter Linux für das Endpunktschutz-Feature.

Sowohl für Windows als auch für Linux können Sie Microsoft Defender for Cloud verwenden, um den Integritätsstatus der Antimalwarelösung zu ermitteln und zu bewerten.

Hinweis

Microsoft Defender Cloud unterstützt auch bestimmte Endpunktschutzprodukte von Drittanbietern für die Ermittlungs- und Integritätsstatusbewertung.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Integrieren Sie Ihre GCP-Projekte in Microsoft Defender for Cloud, damit Microsoft Defender for Cloud automatisch die Verwendung beliebter Antischadsoftwarelösungen für virtuelle Computerinstanzen mit Azure Arc konfiguriert und den Endpunktschutzstatus melden und Empfehlungen abgeben kann.

Stellen Sie Microsoft Defender Antivirus bereit, die die standardmäßige Antischadsoftwarelösung für Windows Server 2016 und höher ist. Verwenden Sie für Instanzen virtueller Computer mit Windows Server 2012 R2 die Microsoft-Antischadsoftwareerweiterung, um SCEP (System Center Endpoint Protection) zu aktivieren. Verwenden Sie für Virtuelle Computerinstanzen, die Linux ausführen, Microsoft Defender für Endpunkt unter Linux für das Endpunktschutzfeature.

Sowohl für Windows als auch für Linux können Sie Microsoft Defender for Cloud verwenden, um den Integritätsstatus der Antimalwarelösung zu ermitteln und zu bewerten.

Hinweis

Microsoft Defender Cloud unterstützt auch bestimmte Endpunktschutzprodukte von Drittanbietern für die Ermittlungs- und Integritätsstatusbewertung.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
10,2	SI-2, SI-3	5.2

Sicherheitsprinzip: Stellen Sie sicher, dass Antimalwaresignaturen für die Antimalwarelösung schnell und konsistent aktualisiert werden.

Azure-Leitfaden: Folgen Sie den Empfehlungen in Microsoft Defender for Cloud, um sicherzustellen, dass alle Endpunkte über die neuesten Signaturen verfügen. Microsoft Anti-Malware (für Windows) und Microsoft Defender für Endpunkt (für Linux) installiert automatisch die neuesten Signaturen und Modulupdates standardmäßig.

Stellen Sie bei externen Lösungen sicher, dass die Signaturen in der externen Antischadsoftwarelösung aktualisiert werden.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Wenn für Ihr AWS-Konto ein Onboarding für Microsoft Defender for Cloud durchgeführt wurde, folgen Sie den Empfehlungen in Microsoft Defender for Cloud, um alle Endpunkte mit den neuesten Signaturen auf dem letzten Stand zu halten. Microsoft Anti-Malware (für Windows) und Microsoft Defender für Endpunkt (für Linux) installiert automatisch die neuesten Signaturen und Modulupdates standardmäßig.

Stellen Sie bei externen Lösungen sicher, dass die Signaturen in der externen Antischadsoftwarelösung aktualisiert werden.

AWS-Implementierung und zusätzlicher Kontext:

Verbinden Ihrer AWS-Konten mit Microsoft Defender for Cloud

GCP-Leitfaden: Befolgen Sie mit Ihren GCP-Projekten, die in Microsoft Defender for Cloud integriert sind, Empfehlungen in Microsoft Defender for Cloud, um alle EDR-Lösungen mit den neuesten Signaturen auf dem neuesten Stand zu halten. Microsoft Anti-Malware (für Windows) und Microsoft Defender für Endpunkt (für Linux) installiert automatisch die neuesten Signaturen und Modulupdates standardmäßig.

Stellen Sie bei externen Lösungen sicher, dass die Signaturen in der externen Antischadsoftwarelösung aktualisiert werden.

GCP-Implementierung und zusätzlicher Kontext:

Verbinden Sie Ihre GCP-Projekte mit Microsoft Defender for Cloud:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

Sicherheitskontrolle: Governance und Strategie

Governance und Strategie bieten Anleitungen für die Sicherstellung einer kohärenten Sicherheitsstrategie und dokumentierten Governance-Ansatz, um die Sicherheit zu unterstützen und zu gewährleisten, einschließlich der Festlegung von Rollen und Verantwortlichkeiten für die verschiedenen Cloudsicherheitsfunktionen, einheitliche technische Strategie und unterstützende Richtlinien und Standards.

GS-5: Definieren und Implementieren der Strategie zur Verwaltung von Sicherheitsstatus

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
4.1, 4.2	CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5	1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Allgemeine Anleitungen: Richten Sie eine Richtlinie, ein Verfahren und einen Standard ein, um sicherzustellen, dass die Sicherheitskonfigurationsverwaltung und die Sicherheitsrisikoverwaltung in Ihrem Cloudsicherheitsmandat vorhanden sind.

Die Sicherheitskonfigurationsverwaltung in der Cloud sollte die folgenden Bereiche umfassen:

Definieren Sie die Basispläne für sichere Konfigurationen für verschiedene Ressourcentypen in der Cloud, z. B. das Webportal/die Konsole, die Verwaltungs- und Kontrollebene sowie Ressourcen, die in den IaaS-, PaaS- und SaaS-Diensten ausgeführt werden.
Stellen Sie sicher, dass die Sicherheitsgrundwerte die Risiken in verschiedenen Kontrollbereichen wie Netzwerksicherheit, Identitätsverwaltung, privilegiertem Zugriff, Datenschutz usw. behandeln.
Verwenden Sie Tools, um die Konfiguration kontinuierlich zu messen, zu überwachen und zu erzwingen, um zu verhindern, dass die Konfiguration vom Basisplan abweicht.
Entwickeln Sie eine Häufigkeit, um mit Sicherheitsfeatures auf dem neuesten Stand zu bleiben, z. B. abonnieren Sie die Dienstupdates.
Verwenden Sie einen Sicherheitsintegritäts- oder Complianceüberprüfungsmechanismus (z. B. Secure Score, Compliance Dashboard in Microsoft Defender for Cloud), um den Sicherheitskonfigurationsstatus regelmäßig zu überprüfen und die identifizierten Lücken zu beheben.

Die Sicherheitsrisikomanagement in der Cloud sollte die folgenden Sicherheitsaspekte umfassen:

Bewerten und Beheben von Sicherheitsrisiken in allen Cloudressourcentypen, z. B. cloudeigene Dienste, Betriebssysteme und Anwendungskomponenten.
Verwenden Sie einen risikobasierten Ansatz, um Bewertung und Behebung zu priorisieren.
Abonnieren Sie die sicherheitsspezifischen Hinweise und Blogs des CSPM, um die neuesten Sicherheitsupdates zu erhalten.
Stellen Sie sicher, dass die Sicherheitsrisikobewertung und -behebung (z. B. Zeitplan, Umfang und Techniken) die Complianceanforderungen für Ihre Organisation erfüllen.

Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

Alle Projektbeteiligten

GS-11: Definieren und Implementieren der Multicloud-Sicherheitsstrategie

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
Nicht verfügbar	Nicht verfügbar	Nicht verfügbar

Allgemeiner Leitfaden: Stellen Sie sicher, dass eine Multicloudstrategie in Ihrer Cloud- und Sicherheitsgovernance, dem Risikomanagement und dem Vorgangsprozess definiert ist, die die folgenden Aspekte umfassen sollten:

Multicloud-Einführung: Für Organisationen, die multicloud-Infrastruktur betreiben und Ihre Organisation schulen, um sicherzustellen, dass Teams den Featureunterschied zwischen den Cloudplattformen und dem Technologiestapel verstehen. Erstellen, Bereitstellen und/oder Migrieren von Lösungen, die portabel sind. Ermöglichen Sie eine einfache Bewegung zwischen Cloudplattformen mit minimaler Anbietersperrung, während Cloud native Features angemessen für das optimale Ergebnis der Cloudakzeptanz verwendet werden.
Cloud- und Sicherheitsvorgänge: Optimieren Sie Sicherheitsvorgänge zur Unterstützung der Lösungen in jeder Cloud durch einen zentralen Satz von Governance- und Verwaltungsprozessen, die gemeinsame Vorgänge gemeinsam nutzen, unabhängig davon, wo die Lösung bereitgestellt und betrieben wird.
Tools- und Technologiestapel: Wählen Sie die geeigneten Tools aus, die multicloud-Umgebung unterstützen, um einheitliche und zentralisierte Verwaltungsplattformen einzurichten, die alle in diesem Sicherheits-Benchmark behandelten Sicherheitsdomänen enthalten.

Implementierung und zusätzlicher Kontext:

Sicherheitssteuerung: Identitätsverwaltung

Identitätsverwaltung umfasst Kontrollmechanismen zum Einrichten sicherer Identitäts- und Zugriffssteuerungen mithilfe von Identitäts- und Zugriffsverwaltungssystemen. Dazu gehören das einmalige Anmelden, sichere Authentifizierungen, verwaltete Identitäten (und Dienstprinzipale) für Anwendungen, bedingter Zugriff und Überwachung von Anomalien bei Konten.

Chat-8: Einschränken der Offenlegung von Anmeldeinformationen und geheimen Schlüsseln

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
16,9, 16,12	IA-5	3.5, 6.3, 8.2

Sicherheitsprinzip: Sicherstellen, dass Anwendungsentwickler Anmeldeinformationen und geheime Schlüssel sicher behandeln:

Vermeiden Sie das Einbetten der Anmeldeinformationen und geheimen Schlüssel in die Code- und Konfigurationsdateien
Verwenden des Schlüsseltresors oder eines Sicheren Schlüsselspeicherdiensts zum Speichern der Anmeldeinformationen und geheimen Schlüssel
Suchen Sie nach Anmeldeinformationen im Quellcode.

Hinweis

Gesteuert und erzwungen durch einen sicheren Softwareentwicklungslebenszyklus (SDLC) und DevOps-Sicherheitsprozess.

Azure-Leitfaden: Wenn die Verwendung einer verwalteten Identität keine Option ist, stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in den Code- und Konfigurationsdateien einzubetten.

Wenn Sie Azure DevOps und GitHub für Ihre Codeverwaltungsplattform verwenden:

Implementieren Sie Credential Scanner von Azure DevOps, um Anmeldeinformationen im Code zu identifizieren.
Verwenden Sie für GitHub das systemeigene Feature zum Scannen von geheimen Schlüsseln, um Anmeldeinformationen oder andere Geheimschlüssel im Code zu identifizieren.

Clients wie Azure Functions, Azure Apps-Dienste und VMs können verwaltete Identitäten verwenden, um sicher auf Azure Key Vault zuzugreifen. Siehe Datenschutzsteuerelemente im Zusammenhang mit der Verwendung von Azure Key Vault für die Verwaltung von geheimen Schlüsseln.

Hinweis

Azure Key Vault bietet automatische Drehung für unterstützte Dienste. Stellen Sie bei geheimen Schlüsseln, die nicht automatisch gedreht werden können, sicher, dass sie regelmäßig gedreht und gelöscht werden, wenn sie nicht mehr verwendet werden.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Wenn die Verwendung einer IAM-Rolle für den Anwendungszugriff keine Option ist, stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Speicherorten wie AWS Secrets Manager oder Systems Manager Parameter Store gespeichert werden, anstatt sie in die Code- und Konfigurationsdateien einzubetten.

Verwenden Sie CodeGuru Reviewer für statische Codeanalyse, die geheime Schlüssel in Ihrem Quellcode erkennen kann.

Wenn Sie Azure DevOps und GitHub für Ihre Codeverwaltungsplattform verwenden:

Implementieren Sie Credential Scanner von Azure DevOps, um Anmeldeinformationen im Code zu identifizieren.
Verwenden Sie für GitHub das systemeigene Feature zum Scannen von geheimen Schlüsseln, um Anmeldeinformationen oder andere Arten von geheimen Schlüsseln im Code zu identifizieren.

Hinweis

Secrets Manager stellt die automatische Drehung von geheimen Schlüsseln für unterstützte Dienste bereit. Stellen Sie bei geheimen Schlüsseln, die nicht automatisch gedreht werden können, sicher, dass sie regelmäßig gedreht und gelöscht werden, wenn sie nicht mehr verwendet werden.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Wenn es keine Option ist, ein von Google verwaltetes Dienstkonto für den Anwendungszugriff zu verwenden, stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Orten wie dem Secret Manager von Google Cloud gespeichert werden, anstatt sie in den Code- und Konfigurationsdateien einzubetten.

Verwenden Sie die Google Cloud Code-Erweiterung für IDEs (Integrierte Entwicklungsumgebung), z. B. Visual Studio Code, um geheime Schlüssel, die von Secret Manager verwaltet werden, in Ihren Code zu integrieren.

Wenn Sie Azure DevOps oder GitHub für Ihre Codeverwaltungsplattform verwenden:

Implementieren Sie Credential Scanner von Azure DevOps, um Anmeldeinformationen im Code zu identifizieren.
Verwenden Sie für GitHub das systemeigene Feature zum Scannen von geheimen Schlüsseln, um Anmeldeinformationen oder andere Arten von geheimen Schlüsseln im Code zu identifizieren.

Hinweis

Richten Sie Drehungszeitpläne für geheime Schlüssel ein, die im geheimen Manager gespeichert sind, als bewährte Methode.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

Sicherheitskontrolle: Reaktion auf Vorfälle

Die Reaktion auf Vorfälle umfasst Kontrollen im Lebenszyklus der Reaktion auf Vorfälle – Vorbereitung, Erkennung und Analyse, Eindämmung und Aktivitäten nach dem Vorfall, einschließlich der Verwendung von Azure-Diensten (z. B. Microsoft Defender für Cloud und Microsoft Sentinel) und/oder anderen Clouddiensten zur Automatisierung des Vorfallreaktionsprozesses.

IR-4: Erkennung und Analyse - Untersuchen eines Vorfalls

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
Nicht verfügbar	IR-4	12.10

Sicherheitsprinzip: Stellen Sie sicher, dass das Sicherheitsbetriebsteam verschiedene Datenquellen abfragen und verwenden kann, während sie potenzielle Vorfälle untersuchen, um einen vollständigen Überblick darüber zu erhalten, was passiert ist. Es sollten diverse Protokolle gesammelt werden, um die Aktivitäten eines potenziellen Angreifers entlang der Angriffskette zu verfolgen und ungeschützte Seiten zu vermeiden. Stellen Sie außerdem sicher, dass Erkenntnisse und Erfahrungen für andere Analysten und als zukünftige Referenzen erfasst werden.

Verwenden Sie die cloudeigene SIEM- und Vorfallverwaltungslösung, wenn Ihre Organisation nicht über eine vorhandene Lösung zum Aggregieren von Sicherheitsprotokollen und Warnungsinformationen verfügt. Korrelieren Sie Incidentdaten basierend auf den Daten aus verschiedenen Quellen, um die Incidentuntersuchungen zu unterstützen.

Azure-Leitfaden: Stellen Sie sicher, dass Ihr Sicherheitsbetriebsteam verschiedene Datenquellen abfragen und verwenden kann, die aus den In-Scope-Diensten und -Systemen gesammelt werden. Darüber hinaus können quellen auch Folgendes umfassen:

Identitäts- und Zugriffsprotokolldaten: Verwenden Sie Microsoft Entra-Protokolle und Workload-Zugriffsprotokolle (z. B. von Betriebssystemen oder Anwendungsebenen) zum Korrelieren von Identitäts- und Zugriffsereignissen.
Netzwerkdaten: Verwenden Sie die Datenflussprotokolle von Netzwerksicherheitsgruppen sowie Azure Network Watcher und Azure Monitor, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
Vorfallbezogene Aktivitätsdaten aus Momentaufnahmen der betroffenen Systeme, die über Folgendes abgerufen werden können:
- Die Snapshots-Funktion des virtuellen Azure-Computers zum Erstellen einer Momentaufnahme des Datenträgers des ausgeführten Systems.
- Die systemeigene Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
- Die Momentaufnahmefunktion anderer unterstützter Azure-Dienste oder der eigenen Funktion Ihrer Software zum Erstellen von Momentaufnahmen der ausgeführten Systeme.

Microsoft Sentinel bietet umfassende Datenanalysen in praktisch jeder Protokollquelle und einem Fallverwaltungsportal, um den gesamten Lebenszyklus von Vorfällen zu verwalten. Intelligenceinformationen während einer Untersuchung können zu Verfolgungs- und Berichtszwecken mit einem Vorfall verknüpft werden.

Hinweis

Wenn Vorfallbezogene Daten zur Untersuchung erfasst werden, stellen Sie sicher, dass eine angemessene Sicherheit vorhanden ist, um die Daten vor unbefugter Änderung zu schützen, z. B. das Deaktivieren der Protokollierung oder das Entfernen von Protokollen, die Angreifer während einer In-Flight-Datenschutzverletzungsaktivität ausführen.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Die Datenquellen für die Untersuchung sind die zentralen Protokollierungsquellen, die aus den in-Scope-Diensten und ausgeführten Systemen gesammelt werden, können aber auch Folgendes umfassen:

Identitäts- und Zugriffsprotokolldaten: Verwenden Sie IAM-Protokolle und Arbeitsauslastung (z. B. Betriebssysteme oder Anwendungsebene) Zugriffsprotokolle zum Korrelieren von Identitäts- und Zugriffsereignissen.
Netzwerkdaten: Verwenden Sie zum Erfassen von Netzwerkflussprotokollen und anderen Analyseinformationen VPC Flow-Protokolle, VPC-Datenverkehrspiegel und Azure CloudTrail und CloudWatch.
Momentaufnahmen laufender Systeme, die durch:
- Snapshot-Funktion in Amazon EC2(EBS) zum Erstellen einer Momentaufnahme des Datenträgers des ausgeführten Systems.
- Die systemeigene Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
- Das Snapshot-Feature der AWS-Dienste oder der eigenen Funktion Ihrer Software, um Momentaufnahmen der ausgeführten Systeme zu erstellen.

Wenn Sie Ihre SIEM-bezogenen Daten in Microsoft Sentinel aggregieren, bietet es umfassende Datenanalysen in praktisch jeder Protokollquelle und einem Fallverwaltungsportal, um den vollständigen Lebenszyklus von Vorfällen zu verwalten. Intelligenceinformationen während einer Untersuchung können zu Verfolgungs- und Berichtszwecken mit einem Vorfall verknüpft werden.

Hinweis

Wenn Vorfallbezogene Daten zur Untersuchung erfasst werden, stellen Sie sicher, dass eine angemessene Sicherheit vorhanden ist, um die Daten vor unbefugter Änderung zu schützen, z. B. das Deaktivieren der Protokollierung oder das Entfernen von Protokollen, die die Angreifer während einer In-Flight-Datenverletzungsaktivität ausführen.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Die Datenquellen für die Untersuchung sind die zentralisierten Protokollierungsquellen, die von den In-Scope-Diensten und ausgeführten Systemen gesammelt werden, können aber auch Folgendes umfassen:

Identitäts- und Zugriffsprotokolldaten: Verwenden Sie IAM-Protokolle und Arbeitsauslastung (z. B. Betriebssysteme oder Anwendungsebene) Zugriffsprotokolle zum Korrelieren von Identitäts- und Zugriffsereignissen.
Netzwerkdaten: Verwenden Sie VPC-Flow-Protokolle und VPC-Dienst-Steuerelemente, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
Momentaufnahmen laufender Systeme, die durch:
- Snapshot-Funktion in GCP-VMs zum Erstellen einer Momentaufnahme des Datenträgers des ausgeführten Systems.
- Die systemeigene Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
- Die Momentaufnahmefunktion der GCP-Dienste oder der eigenen Funktion Ihrer Software, um Momentaufnahmen der ausgeführten Systeme zu erstellen.

Hinweis

Wenn Vorfallbezogene Daten zur Untersuchung erfasst werden, stellen Sie sicher, dass eine angemessene Sicherheit vorhanden ist, um die Daten vor unbefugter Änderung zu schützen, z. B. das Deaktivieren der Protokollierung oder das Entfernen von Protokollen, die die Angreifer während einer In-Flight-Datenverletzungsaktivität ausführen.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

IR-6: Eingrenzung, Beseitigung und Wiederherstellung: Automatisieren der Incidentbehandlung

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
Nicht verfügbar	IR-4, IR-5, IR-6	12.10

Sicherheitsprinzip: Automatisieren Sie manuelle, sich wiederholende Aufgaben, um die Antwortzeit zu beschleunigen und die Belastung der Analysten zu verringern. Manuelle Aufgaben dauern länger, verlangsamen jeden Vorfall und reduzieren die Anzahl der Vorfälle, die ein Analyst bewältigen kann. Manuelle Aufgaben erhöhen auch die Ermüdung der Analytiker. Dadurch erhöht sich das Risiko menschlicher Fehler, die zu Verzögerungen führen, und es verschlechtert sich die Fähigkeit der Analytiker, sich effektiv auf komplexe Aufgaben zu konzentrieren.

Azure-Leitfaden: Verwenden Sie Workflowautomatisierungsfeatures in Microsoft Defender für Cloud und Microsoft Sentinel, um Aktionen automatisch auszulösen oder Playbooks auszuführen, um auf eingehende Sicherheitswarnungen zu reagieren. Playbooks ergreifen Aktionen, z. B. das Senden von Benachrichtigungen, das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Wenn Sie Microsoft Sentinel verwenden, um Ihren Vorfall zentral zu verwalten, können Sie auch automatisierte Aktionen erstellen oder Playbooks ausführen, um auf eingehende Sicherheitswarnungen zu reagieren.

Alternativ können Sie Automatisierungsfeatures in AWS System Manager verwenden, um im Plan für die Reaktion auf Vorfälle definierte Aktionen automatisch auszulösen, einschließlich der Benachrichtigung der Kontakte und/oder der Ausführung eines Runbooks, um auf Warnungen zu reagieren, z. B. Das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.

AWS-Implementierung und zusätzlicher Kontext:

AWS Systems Manager – Runbooks und Automatisierung

GCP-Anleitung: Wenn Sie Microsoft Sentinel verwenden, um Ihren Vorfall zentral zu verwalten, können Sie auch automatisierte Aktionen erstellen oder Playbooks ausführen, um auf eingehende Sicherheitswarnungen zu reagieren.

Alternativ können Sie Playbook-Automatisierungen in Chronik verwenden, um im Plan für die Reaktion auf Vorfälle definierte Aktionen automatisch auszulösen, einschließlich der Benachrichtigung der Kontakte und/oder ausführen eines Playbook, um auf Warnungen zu reagieren.

GCP-Implementierung und zusätzlicher Kontext:

Chronik SOAR Playbook

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

Sicherheitssteuerung: Protokollierung und Bedrohungserkennung

Protokollierung und Bedrohungserkennung umfasst Kontrollmechanismen zur Erkennung von Bedrohungen in der Cloud sowie das Aktivieren, Erfassen und Speichern von Überwachungsprotokollen für Clouddienste. Dazu gehört das Aktivieren von Erkennungs-, Untersuchungs- und Abhilfeprozessen mit Mechanismen zur Generierung nützlicher Warnungen mithilfe der nativen Bedrohungserkennung in Clouddiensten. Außerdem gehört dazu das Erfassen von Protokollen mit einem Cloudüberwachungsdienst, die Zentralisierung der Sicherheitsanalyse mit einem SIEM-System (Security Information and Event Management), die Zeitsynchronisierung und die Aufbewahrung von Protokollen.

LT-1: Funktionen für die Bedrohungserkennung aktivieren

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
8.11	AU-3, AU-6, AU-12, SI-4	10.6, 10.8, A3.5

Sicherheitsprinzip: Um Bedrohungserkennungsszenarien zu unterstützen, überwachen Sie alle bekannten Ressourcentypen auf bekannte und erwartete Bedrohungen und Anomalien. Konfigurieren Sie Ihre Warnungsfilter- und Analyseregeln, um qualitativ hochwertige Warnungen aus Protokolldaten, Agents oder anderen Datenquellen zu extrahieren, um falsch positive Ergebnisse zu reduzieren.

Azure-Leitfaden: Verwenden Sie die Bedrohungserkennungsfunktion von Microsoft Defender for Cloud für die jeweiligen Azure-Dienste.

Informationen zur Bedrohungserkennung, die nicht in Microsoft Defender-Diensten enthalten ist, finden Sie in den Microsoft Cloud Security Benchmark-Dienstbaselines für die jeweiligen Dienste, um die Funktionen für die Bedrohungserkennung oder Sicherheitswarnungen innerhalb des Diensts zu aktivieren. Erfassen sie Warnungen und Protokolldaten aus Microsoft Defender für Cloud, Microsoft Defender XDR und protokollieren Sie Daten aus anderen Ressourcen in Ihren Azure Monitor- oder Microsoft Sentinel-Instanzen, um Analyseregeln zu erstellen, die Bedrohungen erkennen und Warnungen erstellen, die bestimmten Kriterien in Ihrer Umgebung entsprechen.

Verwenden Sie für OT-Umgebungen (Operational Technology), die Computer umfassen, die Industriesteuerungssystem (Industrial Control System, ICS) oder SCADA-Ressourcen (Supervisory Control and Data Acquisition) steuern oder überwachen, Microsoft Defender for IoT, um Ressourcen zu inventarisieren und Bedrohungen und Sicherheitsrisiken zu erkennen.

Für Dienste, die nicht über eine systemeigene Bedrohungserkennung verfügen, sollten Sie die Datenebenenprotokolle erfassen und die Bedrohungen über Microsoft Sentinel analysieren.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie Amazon GuardDuty für die Bedrohungserkennung, die die folgenden Datenquellen analysiert und verarbeitet: AWS CloudTrail Management-Ereignisprotokolle, CloudTrail S3-Datenereignisprotokolle, EKS-Überwachungsprotokolle und DNS-Protokolle. GuardDuty kann Sicherheitsprobleme wie Berechtigungseskalation, die Verwendung von Anmeldeinformationen oder die Kommunikation mit böswilligen IP-Adressen oder Domänen melden.

Konfigurieren Sie AWS Config, um Regeln in SecurityHub für die Konformitätsüberwachung wie z. B. Konfigurationsabweichungen zu überprüfen und bei Bedarf Ergebnisse zu erstellen.

Aktivieren Sie für die Bedrohungserkennung, die nicht in GuardDuty und SecurityHub enthalten ist, die Funktionen zur Bedrohungserkennung oder Sicherheitswarnung innerhalb der unterstützten AWS-Dienste. Extrahieren Sie die Warnungen an Ihren CloudTrail, CloudWatch oder Microsoft Sentinel, um Analyseregeln zu erstellen, die Bedrohungen suchen, die bestimmten Kriterien in Ihrer Umgebung entsprechen.

Sie können auch Microsoft Defender for Cloud verwenden, um bestimmte Dienste in AWS wie EC2-Instanzen zu überwachen.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Verwenden Sie die Ereignis-Bedrohungserkennung im Google Cloud Security Command Center für die Bedrohungserkennung mithilfe von Protokolldaten wie Administratoraktivitäten, GKE-Datenzugriff, VPC-Flow-Protokollen, Cloud-DNS und Firewallprotokollen.

Verwenden Sie außerdem die Security Operations Suite für den modernen SOC mit Chronik SIEM und SOAR. Chronik SIEM und SOAR bieten Bedrohungserkennungs-, Untersuchungs- und Suchfunktionen

Sie können auch Microsoft Defender for Cloud verwenden, um bestimmte Dienste in GCP zu überwachen, z. B. Compute-VM-Instanzen.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

LT-3: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Tabelle erweitern

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
8.2, 8.5, 8.12	AU-3, AU-6, AU-12, SI-4	10.1, 10.2, 10.3

Sicherheitsprinzip: Aktivieren Sie die Protokollierung für Ihre Cloudressourcen, um die Anforderungen für Untersuchungen von Sicherheitsvorfällen sowie für Sicherheitsreaktions- und Konformitätszwecke zu erfüllen.

Azure-Leitfaden: Aktivieren der Protokollierungsfunktion für Ressourcen auf den verschiedenen Ebenen, z. B. Protokolle für Azure-Ressourcen, Betriebssysteme und Anwendungen in Ihren VMs und anderen Protokolltypen.

Achten Sie auf verschiedene Arten von Protokollen für Sicherheit, Überwachung und andere Betriebsprotokolle auf Verwaltungs-/Kontrollebenen und Datenebenen. Es gibt drei Arten der Protokolle, die auf der Azure-Plattform verfügbar sind:

Azure-Ressourcenprotokoll: Protokollierung von Vorgängen, die in einer Azure-Ressource (der Datenebene) ausgeführt werden. Rufen Sie z. B. einen geheimen Schlüssel aus einem Schlüsseltresor ab oder stellen Sie eine Anforderung an eine Datenbank vor. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.
Azure-Aktivitätsprotokoll: Protokollierung von Vorgängen auf jeder Azure-Ressource auf der Abonnementebene von außen (verwaltungsebene). Sie können das Aktivitätsprotokoll verwenden, um zu bestimmen, was, wer und wann für alle Schreibvorgänge (PUT, POST, DELETE) für die Ressourcen in Ihrem Abonnement übernommen wurde. Es gibt ein einzelnes Aktivitätsprotokoll für jedes Azure-Abonnement.
Microsoft Entra-ID-Protokolle: Protokolle des Verlaufs der Anmeldeaktivität und des Überwachungspfads von Änderungen, die in der Microsoft Entra-ID für einen bestimmten Mandanten vorgenommen wurden.

Sie können auch Microsoft Defender for Cloud und Azure-Richtlinie verwenden, um Ressourcenprotokolle zu aktivieren und die Erfassung von Daten in Azure-Ressourcen zu protokollieren.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie die AWS CloudTrail-Protokollierung für Verwaltungsereignisse (Steuerungsebenenvorgänge) und Datenereignisse (Datenebenenvorgänge) und überwachen Sie diese Trails mit CloudWatch für automatisierte Aktionen.

Mit dem Amazon CloudWatch Logs-Dienst können Sie Protokolle aus Ihren Ressourcen, Anwendungen und Diensten in nahezu Echtzeit sammeln und speichern. Es gibt drei Hauptkategorien von Protokollen:

Verkaufsprotokolle: Protokolle, die von AWS-Diensten in Ihrem Auftrag nativ veröffentlicht wurden. Derzeit sind Amazon VPC FLOW Logs und Amazon Route 53 Protokolle die beiden unterstützten Typen. Diese beiden Protokolle sind standardmäßig aktiviert.
Protokolle, die von AWS-Diensten veröffentlicht werden: Protokolle von mehr als 30 AWS-Diensten, die in CloudWatch veröffentlicht werden. Dazu gehören Amazon API Gateway, AWS Lambda, AWS CloudTrail und viele andere. Diese Protokolle können direkt in den Diensten und CloudWatch aktiviert werden.
Benutzerdefinierte Protokolle: Protokolle aus Ihrer eigenen Anwendung und lokalen Ressourcen. Sie müssen diese Protokolle sammeln, indem Sie CloudWatch Agent in Ihren Betriebssystemen installieren und an CloudWatch weiterleiten.

Während viele Dienste Protokolle nur in CloudWatch Logs veröffentlichen, können einige AWS-Dienste Protokolle direkt in AmazonS3 oder Amazon Kinesis Data Fire-Schlauch veröffentlichen, wo Sie unterschiedliche Protokollierungsspeicher- und Aufbewahrungsrichtlinien verwenden können.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Aktivieren der Protokollierungsfunktion für Ressourcen auf den verschiedenen Ebenen, z. B. Protokolle für Azure-Ressourcen, Betriebssysteme und Anwendungen innerhalb Ihrer VMs und andere Protokolltypen.

Achten Sie auf verschiedene Arten von Protokollen für Sicherheit, Überwachung und andere Betriebsprotokolle auf Verwaltungs-/Kontrollebenen und Datenebenen. Der Operations Suite Cloud Logging-Dienst sammelt und aggregiert alle Arten von Protokollereignissen aus Ressourcenebenen. Vier Kategorien von Protokollen werden in der Cloudprotokollierung unterstützt:

Plattformprotokolle – Protokolle, die von Ihren Google Cloud-Diensten geschrieben wurden.
Komponentenprotokolle – ähnlich wie Plattformprotokolle, aber die Protokolle werden von Google bereitgestellten Softwarekomponenten generiert, die auf Ihren Systemen ausgeführt werden.
Sicherheitsprotokolle – hauptsächlich Überwachungsprotokolle, die administrative Aktivitäten aufzeichnen und innerhalb Ihrer Ressourcen darauf zugreifen.
Vom Benutzer geschriebene Protokolle, die von benutzerdefinierten Anwendungen und Diensten geschrieben wurden
Multicloud-Protokolle und Hybrid-Cloud-Protokolle – Protokolle von anderen Cloudanbietern wie Microsoft Azure und Protokollen aus der lokalen Infrastruktur.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

LT-4: Aktivieren der Netzwerkprotokollierung für die Sicherheitsuntersuchung

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6	AU-3, AU-6, AU-12, SI-4	10.8

Sicherheitsprinzip: Aktivieren Sie die Protokollierung für Ihre Netzwerkdienste, um Untersuchungen netzwerkbezogener Vorfälle, die Bedrohungssuche und die Generierung von Sicherheitswarnungen zu unterstützen. Zu den Netzwerkprotokollen gehören Protokolle von Netzwerkdiensten wie IP-Filterung, Netzwerk- und Anwendungsfirewall, DNS, Ablaufüberwachung usw.

Azure-Leitfaden: Aktivieren und Sammeln von Netzwerksicherheitsgruppenressourcenprotokollen (NSG), NSG-Flussprotokollen, Azure Firewall-Protokollen und WAF-Protokollen (Web Application Firewall) und Protokollen von virtuellen Computern über den Netzwerkdatensammlungs-Datensammlungs-Agent zur Sicherheitsanalyse zur Unterstützung von Vorfalluntersuchungen und Generierung von Sicherheitswarnungen. Sie können die Datenflussprotokolle an einen Log Analytics-Arbeitsbereich von Azure Monitor senden und dann mithilfe von Traffic Analytics Einblicke ermöglichen.

Sammeln Sie DNS-Abfrageprotokolle, um andere Netzwerkdaten zu korrelieren.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Aktivieren und Sammeln von Netzwerkprotokollen wie VPC-Flow-Protokollen, WAF-Protokollen und Route53 Resolver-Abfrageprotokollen zur Sicherheitsanalyse zur Unterstützung von Vorfalluntersuchungen und zur Generierung von Sicherheitswarnungen. Die Protokolle können zur Überwachung in CloudWatch oder einen S3-Speicher-Bucket für die Aufnahme in die Microsoft Sentinel-Lösung für zentralisierte Analysen exportiert werden.

AWS-Implementierung und zusätzlicher Kontext:

Aktivieren der Protokollierung von bestimmten AWS-Diensten

GCP-Leitfaden: Die meisten Netzwerkinformationen sind über die VPC-Flussprotokolle verfügbar, die eine Stichprobe von Netzwerkflüssen aufzeichnen, die von Ressourcen gesendet und empfangen werden, einschließlich Instanzen, die als Google-Compute-VMs und Kubernetes-Engine-Knoten verwendet werden. Diese Protokolle können für die Netzwerküberwachung, forensische Analyse, Echtzeitsicherheitsanalyse und Spesenoptimierung verwendet werden.

Sie können Ablaufprotokolle in der Cloudprotokollierung anzeigen und Protokolle an das Ziel exportieren, das der Export von Cloudprotokollierung unterstützt. Ablaufprotokolle werden nach Verbindung von Compute Engine-VMs aggregiert und in Echtzeit exportiert. Durch Abonnieren von Pub/Sub können Sie Ablaufprotokolle mithilfe von Echtzeitstreaming-APIs analysieren.

Hinweis

Sie können auch die Paketspiegelung verwenden, um den Datenverkehr bestimmter Instanzen in Ihrem Virtual Private Cloud (VPC)-Netzwerk zu klonen und zur Überprüfung weiterzuleiten. Die Paketspiegelung erfasst alle Datenverkehrs- und Paketdaten, einschließlich Nutzlasten und Headern.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

LT-5: Zentrale Verwaltung und Analyse von Sicherheitsprotokollen

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
8.9, 8.11, 13.1	AU-3, AU-6, AU-12, SI-4	Nicht verfügbar

Sicherheitsprinzip: Zentralisieren Sie die Speicherung und Analyse von Protokollen, um die Korrelation zwischen Protokolldaten zu ermöglichen. Stellen Sie für jede Protokollquelle sicher, dass Sie einen Datenbesitzer, Zugriffsleitfaden, Speicherort, welche Tools für die Verarbeitung und den Zugriff auf die Daten sowie die Datenaufbewahrungsanforderungen zugewiesen haben.

Verwenden Sie cloudnatives SIEM, wenn Sie nicht über eine vorhandene SIEM-Lösung für CSPs verfügen. Oder aggregieren Sie Protokolle/Warnungen in Ihrem vorhandenen SIEM.

Azure-Leitfaden: Stellen Sie sicher, dass Sie Azure-Aktivitätsprotokolle in einen zentralen Log Analytics-Arbeitsbereich integrieren. Verwenden Sie Azure Monitor, um Analysen abzufragen und durchzuführen und Warnungsregeln mithilfe der Protokolle zu erstellen, die von Azure-Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert wurden.

Aktivieren und integrieren Sie außerdem Daten in Microsoft Sentinel, die Sicherheitsinformations- und Ereignismanagement (SIEM) sowie Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionsfähigkeiten (SOAR) bieten.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Stellen Sie sicher, dass Sie Ihre AWS-Protokolle in eine zentrale Ressource für Speicher und Analyse integrieren. Verwenden Sie CloudWatch, um Analysen abzufragen und durchzuführen und Warnungsregeln mithilfe der Protokolle zu erstellen, die von AWS-Diensten, Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert wurden.

Darüber hinaus können Sie die Protokolle in einem S3-Speicher-Bucket aggregieren und die Protokolldaten in Microsoft Sentinel integrieren, das Sicherheitsinformations-Event-Management (SIEM) und Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionsfunktionen (SOAR) zur Verfügung stellt.

AWS-Implementierung und zusätzlicher Kontext:

Verbinden von Microsoft Sentinel mit Amazon Web Services zum Erfassen von AWS-Dienstprotokolldaten

GCP-Leitfaden: Stellen Sie sicher, dass Sie Ihre GCP-Protokolle in eine zentrale Ressource (z. B. Operations Suite Cloud Logging Bucket) für Die Speicherung und Analyse integrieren. Cloud Logging unterstützt die Protokollierung der meisten nativen Google-Cloud-Dienste sowie von externen und lokalen Anwendungen. Sie können die Cloud-Protokollierung für Abfragen und Analysen verwenden und Warnungsregeln mithilfe der Protokolle erstellen, die von GCP-Diensten, Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert wurden.

Verwenden Sie Cloud nativeS SIEM, wenn Sie keine SIEM-Lösung für CSP besitzen oder Protokolle/Warnungen in Ihrem vorhandenen SIEM aggregieren.

Hinweis

Google bietet zwei Protokollabfragen-Frontend, Protokoll-Explorer und Log Analytics für Abfragen, Anzeigen und Analysieren von Protokollen. Zur Problembehandlung und Untersuchung von Protokolldaten empfiehlt es sich, den Protokoll-Explorer zu verwenden. Um Erkenntnisse und Trends zu generieren, empfiehlt es sich, Log Analytics zu verwenden.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

LT-6: Konfigurieren der Aufbewahrung von Protokollspeichern

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
8.3, 8.10	AU-11	10.5, 10.7

Sicherheitsprinzip: Planen Sie Ihre Strategie für die Protokollaufbewahrung gemäß Ihren Compliance-, Regulierungs- und Geschäftsanforderungen. Konfigurieren Sie die Protokollaufbewahrungsrichtlinie bei den einzelnen Protokollierungsdiensten, um sicherzustellen, dass die Protokolle entsprechend archiviert werden.

Azure-Leitfaden: Protokolle wie Azure-Aktivitätsprotokolle werden 90 Tage lang aufbewahrt und dann gelöscht. Sie sollten eine Diagnoseeinstellung erstellen und die Protokolle basierend auf Ihren Anforderungen an einen anderen Speicherort (z. B. Azure Monitor Log Analytics-Arbeitsbereich, Event Hubs oder Azure Storage) weiterleiten. Diese Strategie gilt auch für andere Ressourcenprotokolle und Ressourcen, die von sich selbst verwaltet werden, z. B. Protokolle in den Betriebssystemen und Anwendungen innerhalb von VMs.

Sie haben die Option für die Protokollaufbewahrung:

Verwenden Sie den Azure Monitor Log Analytics-Arbeitsbereich für einen Protokollaufbewahrungszeitraum von bis zu einem Jahr oder pro Ihren Anforderungen an das Reaktionsteam.
Verwenden Sie Azure Storage, Data Explorer oder Data Lake für einen langfristigen und archivierungsbasierten Speicher für mehr als ein Jahr und um Ihre Sicherheitscomplianceanforderungen zu erfüllen.
Verwenden Sie Azure Event Hubs, um Protokolle an eine externe Ressource außerhalb von Azure weiterzuleiten.

Hinweis

Microsoft Sentinel verwendet den Log Analytics-Arbeitsbereich als Back-End für die Protokollspeicherung. Sie sollten eine langfristige Speicherstrategie in Betracht ziehen, wenn Sie beabsichtigen, SIEM-Protokolle länger aufzubewahren.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Standardmäßig werden Protokolle unbegrenzt aufbewahrt und laufen nie in CloudWatch ab. Sie können die Aufbewahrungsrichtlinie für jede Protokollgruppe anpassen, die unbefristete Aufbewahrung beibehalten oder einen Aufbewahrungszeitraum zwischen 10 Jahren und einem Tag auswählen.

Verwenden Sie Amazon S3 für die Protokollarchivierung aus CloudWatch, und wenden Sie die Objektlebenszyklus-Verwaltung und Archivierungsrichtlinie auf den Bucket an. Sie können Azure Storage für die zentrale Protokollarchivierung verwenden, indem Sie die Dateien von Amazon S3 auf Azure Storage übertragen.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Standardmäßig behält Operations Suite Cloud Logging die Protokolle 30 Tage lang bei, es sei denn, Sie konfigurieren eine benutzerdefinierte Aufbewahrung für den Cloudprotokollierungs-Bucket. Administratoraktivitätsüberwachungsprotokolle, Systemereignisüberwachungsprotokolle und Zugriffstransparenzprotokolle werden standardmäßig 400 Tage lang aufbewahrt. Sie können die Cloudprotokollierung so konfigurieren, dass Protokolle zwischen 1 Tag und 3.650 Tagen aufbewahrt werden.

Verwenden Sie CloudSpeicher für die Protokollarchivierung aus der Cloudprotokollierung, und wenden Sie die Objektlebenszyklusverwaltung und Archivierungsrichtlinie auf den Bucket an. Sie können Azure Storage für die zentrale Protokollarchivierung verwenden, indem Sie die Dateien von Google Cloud Storage auf Azure Storage übertragen.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

Sicherheitskontrolle: Status- und Sicherheitsrisikomanagement

Das Status- und Sicherheitsrisikomanagement konzentriert sich auf Kontrollmechanismen zur Bewertung und Verbesserung des Cloudsicherheitsstatus, einschließlich Überprüfung auf Sicherheitsrisiken, Penetrationstests und Wartung sowie Nachverfolgung, Berichterstellung und Korrektur der Sicherheitskonfiguration von Cloudressourcen.

PV-4: Überwachen und Erzwingen sicherer Konfigurationen für Computeressourcen

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
4,1	CM-2, CM-6	2.2

Sicherheitsprinzip: Kontinuierlich überwachen und warnen, wenn eine Abweichung von der definierten Konfigurationsbasislinie in Ihren Computeressourcen vorhanden ist. Erzwingen Sie die gewünschte Konfiguration entsprechend der Basiskonfiguration, indem Sie die nicht kompatible Konfiguration verweigern oder eine Konfiguration in Computeressourcen bereitstellen.

Azure-Leitfaden: Verwenden Sie Microsoft Defender for Cloud und Azure Automanage Machine Configuration (früher Azure Policy Guest Configuration), um Konfigurationsabweichungen für Ihre Azure-Computeressourcen, einschließlich VMs, Containern und anderen, regelmäßig zu bewerten und zu beheben. Darüber hinaus können Sie auch Azure Resource Manager-Vorlagen, benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Microsoft-VM-Vorlagen mit Azure Automation State Configuration können dabei helfen, Sicherheitsanforderungen zu erfüllen und aufrechtzuerhalten. Verwenden Sie die Änderungsnachverfolgung und den Bestand in Azure Automation, um Änderungen an virtuellen Computern zu verfolgen, die in Azure, lokal und anderen Cloudumgebungen gehostet werden, um Betriebliche und Umgebungsprobleme mit Software zu ermitteln, die vom Distribution Package Manager verwaltet werden. Installieren Sie den Gastnachweis-Agent auf virtuellen Computern, um die Startintegrität auf vertraulichen virtuellen Computern zu überwachen.

Hinweis

Von Microsoft veröffentlichte Azure Marketplace-VM-Images werden von Microsoft verwaltet und verwaltet.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie das State Manager-Feature von AWS System Manager, um Konfigurationsabweichungen für Ihre EC2-Instanzen regelmäßig zu bewerten und zu korrigieren. Darüber hinaus können Sie auch CloudFormation-Vorlagen oder benutzerdefinierte Betriebssystemimages verwenden, um die Sicherheitskonfiguration des Betriebssystems beizubehalten. AMI-Vorlagen mit Systems Manager können dabei helfen, Sicherheitsanforderungen zu erfüllen und aufrechtzuerhalten.

Sie können die Betriebssystemkonfiguration auch zentral überwachen und verwalten, indem Sie die Azure Automation State Configuration durchlaufen und die entsprechenden Ressourcen mithilfe der folgenden Methoden in Azure Security Governance integrieren:

Integrieren Ihres AWS-Kontos in Microsoft Defender for Cloud
Verwenden von Azure Arc für Server zum Verbinden Ihrer EC2-Instanzen mit Microsoft Defender for Cloud

Für Workloadanwendungen, die in Ihrer EC2-Instanz, AWS Lambda- oder Containerumgebung ausgeführt werden, können Sie AWS System Manager AppConfig verwenden, um die gewünschte Konfigurationsbasislinie zu überwachen und zu erzwingen.

Hinweis

AMIs, die von Amazon Web Services im AWS Marketplace veröffentlicht werden, werden von Amazon Web Services verwaltet und verwaltet.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Verwenden Sie VM Manager und Google Cloud Security Command Center, um die Konfigurationsabweichung Ihrer Compute Engine-Instanzen, -Container und -Serverless-Verträge regelmäßig zu bewerten und zu beheben. Darüber hinaus können Sie VM-Vorlagen des Deployment Manager, benutzerdefinierte Betriebssystemimages verwenden, um die Sicherheitskonfiguration des Betriebssystems beizubehalten. Bereitstellungs-Manager-VM-Vorlagen mit VM Manager können dabei helfen, Sicherheitsanforderungen zu erfüllen und aufrechtzuerhalten.

Onboarding Ihres GCP-Projekts in Microsoft Defender for Cloud
Verwenden von Azure Arc für Server zum Verbinden Ihrer GCP-VM-Instanzen mit Microsoft Defender for Cloud

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

PV-5: Durchführen von Sicherheitsrisikobewertungen

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
5.5, 7.1, 7.5, 7.6	RA-3, RA-5	6.1, 6.2, 6.6

Sicherheitsprinzip: Führen Sie die Sicherheitsrisikobewertung für Ihre Cloudressourcen auf allen Ebenen nach einem festen Zeitplan oder nach Bedarf durch. Verfolgen und vergleichen Sie die Scanergebnisse, um zu überprüfen, ob die Sicherheitsrisiken behoben werden. Die Bewertung sollte alle Arten von Sicherheitsrisiken umfassen, z. B. Sicherheitsrisiken in Azure-Diensten, im Netzwerk, im Web oder in Betriebssystemen oder Fehlkonfigurationen.

Beachten Sie die potenziellen Risiken im Zusammenhang mit dem privilegierten Zugriff, der von den Sicherheitsrisikoscannern verwendet wird. Befolgen Sie die bewährte Methode für die Sicherheit des privilegierten Zugriffs, um alle administrativen Konten zu schützen, die für die Überprüfung verwendet werden.

Azure-Leitfaden: Befolgen Sie die Empfehlungen aus Microsoft Defender for Cloud zum Durchführen von Sicherheitsrisikobewertungen für Ihre Azure-VMs, Containerimages und SQL-Server. Microsoft Defender for Cloud verfügt über eine integrierte Sicherheitsrisikoüberprüfung für VMs. Verwenden einer externen Lösung zum Durchführen von Sicherheitsrisikobewertungen auf Netzwerkgeräten und Anwendungen (z. B. Webanwendungen)

Exportieren Sie die Scanergebnisse in regelmäßigen Abständen und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob die Sicherheitsrisiken behoben wurden. Wenn Sie Empfehlungen zur Sicherheitsrisikoverwaltung verwenden, die von Microsoft Defender for Cloud vorgeschlagen werden, können Sie sich in das Portal der ausgewählten Scanlösung pivotieren, um verlaufsbasierte Scandaten anzuzeigen.

Verwenden Sie beim Durchführen von Remotescans kein einzelnes, unbefristetes Administratorkonto. Ziehen Sie die Implementierung der JIT-Bereitstellungsmethodik (Just-In-Time) für das Scankonto in Erwägung. Anmeldeinformationen für das Scan-Konto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.

Hinweis

Microsoft Defender-Dienste (einschließlich Defender für Server, Container, App Service, Datenbank und DNS) betten bestimmte Sicherheitsrisikobewertungsfunktionen ein. Die von Azure Defender-Diensten generierten Warnungen sollten zusammen mit dem Ergebnis des Microsoft Defender for Cloud-Überprüfungstools überwacht und überprüft werden.

Hinweis

Stellen Sie sicher, dass Sie E-Mail-Benachrichtigungen in Microsoft Defender for Cloud einrichten.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie Amazon Inspector, um Ihre Amazon EC2-Instanzen und Containerimages in Amazon Elastic Container Registry (Amazon ECR) auf Softwarerisiken und unbeabsichtigte Netzwerkoffenlegung zu überprüfen. Verwenden einer externen Lösung zum Durchführen von Sicherheitsrisikobewertungen auf Netzwerkgeräten und Anwendungen (z. B. Webanwendungen)

Siehe Kontrolle ES-1, Verwenden Sie Endpoint Detection and Response (EDR), zum Onboarding Ihres AWS-Kontos in Microsoft Defender für Cloud und zum Bereitstellen von Microsoft Defender für Server (mit Integration von Microsoft Defender für Endpunkt) in Ihren EC2-Instanzen. Microsoft Defender for Servers bietet eine native Funktion zum Bedrohungs- und Sicherheitsrisikomanagement für Ihre VMs. Das Ergebnis der Sicherheitsrisikoüberprüfung wird im Microsoft Defender für Cloud-Dashboard konsolidiert.

Verfolgen Sie den Status von Sicherheitsrisikenergebnissen, um sicherzustellen, dass sie ordnungsgemäß behoben oder unterdrückt werden, wenn sie als falsch positiv eingestuft werden.

Verwenden Sie beim Durchführen von Remotescans kein einzelnes, unbefristetes Administratorkonto. Erwägen Sie die Implementierung einer temporären Bereitstellungsmethode für das Scankonto. Anmeldeinformationen für das Scan-Konto sollten geschützt, überwacht und nur für die Überprüfung von Sicherheitsrisiken verwendet werden.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Anleitung: Folgen Sie Empfehlungen von Microsoft Defender for Cloud oder/und Google Cloud Security Command Center zum Durchführen von Sicherheitsrisiken in Ihren Compute Engine-Instanzen. Security Command Center verfügt über integrierte Sicherheitsrisikenbewertungen auf Netzwerkgeräten und Anwendungen (z. B. Web Security Scanner)

Exportieren Sie die Scanergebnisse in regelmäßigen Abständen und vergleichen Sie die Ergebnisse mit vorherigen Scans, um zu überprüfen, ob die Sicherheitsrisiken behoben wurden. Wenn Sie empfehlungen für die Verwaltung von Sicherheitsrisiken verwenden, die vom Security Command Center vorgeschlagen werden, können Sie im Portal der ausgewählten Scanlösung pivotieren, um verlaufsbezogene Scandaten anzuzeigen.

GCP-Implementierung und zusätzlicher Kontext:

Übersicht über das Google Cloud Security Command Center.Übersicht über den Websicherheitsscanner

PV-6: Schnelle und automatische Behebung von Sicherheitsrisiken

CIS Controls v8 ID(s)	NIST SP 800-53 r4 Kennung(en)	PCI-DSS-ID(s) v3.2.1
7.2, 7.3, 7.4, 7.7	RA-3, RA-5, SI-2: FEHLERBEHEBUNG	6.1, 6.2, 6.5, 11.2

Sicherheitsprinzip: Stellen Sie schnell und automatisch Patches und Updates bereit, um Sicherheitsrisiken in Ihren Cloudressourcen zu beheben. Verwenden Sie den entsprechenden risikobasierten Ansatz, um die Behebung von Sicherheitsrisiken zu priorisieren. Beispielsweise sollten schwerwiegendere Sicherheitsrisiken in einer Ressource mit höherem Wert als höhere Priorität behandelt werden.

Azure-Leitfaden: Verwenden Sie azure Automation Update Management oder eine externe Lösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie bei Windows-VMs sicher, dass Windows Update aktiviert wurde und auf „Automatisch Aktualisieren“ festgelegt ist.

Verwenden Sie für externe Software eine externe Patchverwaltungslösung oder Microsoft System Center Updates Publisher für Configuration Manager.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie AWS Systems Manager – Patch Manager, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Betriebssystemen und Anwendungen installiert werden. Patch Manager unterstützt Patchbaselines, mit denen Sie eine Liste genehmigter und abgelehnter Patches für Ihre Systeme definieren können.

Sie können auch die Azure Automation-Updateverwaltung verwenden, um die Patches und Updates Ihrer Windows- und Linux-Instanzen von AWS EC2 zentral zu verwalten.

Verwenden Sie für externe Software eine externe Patchverwaltungslösung oder Microsoft System Center Updates Publisher für Configuration Manager.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Verwenden Sie die Patchverwaltung des Betriebssystems google Cloud VM Manager oder eine externe Lösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie für Windows-VMs sicher, dass Windows Update aktiviert ist und automatisch aktualisiert wird.

Verwenden Sie für externe Software eine externe Patchverwaltungslösung oder Microsoft System Center Updates Publisher für die Konfigurationsverwaltung.

GCP-Implementierung und zusätzlicher Kontext:

Projektbeteiligte der Kundensicherheit (Weitere Informationen):

Feedback

War diese Seite hilfreich?