Governance, Risiko und ComplianceGovernance, risk, and compliance

Organisationen aller Größen werden durch ihre verfügbaren Ressourcen eingeschränkt: Finanzen, Mitarbeiter und Zeit.Organizations of all sizes are constrained by their available resources; financial, people, and time. Um eine effektive Rendite (ROI) zu erzielen, müssen Organisationen Prioritäten für die Bereiche festlegen, in die investiert werden soll.To achieve an effective return on investment (ROI) organizations must prioritize where they will invest. Auch die Implementierung der Sicherheit in der gesamten Organisation ist dadurch eingeschränkt. Um also einen angemessenen ROI bei der Sicherheit zu erzielen, muss die Organisation zunächst ihre Sicherheitsprioritäten verstehen und definieren.Implementation of security across the organization is also constrained by this, so to achieve an appropriate ROI on security the organization needs to first understand and define its security priorities.

Governance: Wie soll die Sicherheit der Organisation überwacht, überprüft und gemeldet werden?Governance: How is the organization’s security going to be monitored, audited, and reported? Der Entwurf und die Implementierung von Sicherheitskontrollen innerhalb einer Organisation ist erst der Anfang.Design and implementation of security controls within an organization is only the beginning of the story. Woher weiß die Organisation, dass alles tatsächlich funktioniert?How does the organization know that things are actually working? Gibt es Verbesserungen?Are they improving? Gibt es neue Anforderungen?Are there new requirements? Gibt es eine obligatorische Berichterstellung?Is there mandatory reporting? Ähnlich wie bei der Compliance kann es externe Branchen-, behördliche oder gesetzliche Standards geben, die berücksichtigt werden müssen.Similar to compliance there may be external industry, government or regulatory standards that need to be considered.

Risiko: Welche Arten von Risiken bestehen für die Organisation bei dem Versuch, personenbezogene Informationen, geistiges Eigentum und Finanzinformationen zu schützen?Risk: What types of risks does the organization face while trying to protect identifiable information, Intellectual Property (IP), financial information? Wer könnte interessiert sein oder diese Informationen bei Diebstahl nutzen, einschließlich externer und interner Bedrohungen sowie unbeabsichtigter oder böswilliger Angriffe?Who may be interested or could use this information if stolen, including external and internal threats as well as unintentional or malicious? Ein häufig vergessener, aber äußerst wichtiger Aspekt des Risikos ist die Notfallwiederherstellung und Geschäftskontinuität.A commonly forgotten but extremely important consideration within risk is addressing Disaster Recovery and Business Continuity.

Compliance: Gibt es spezielle Branchen-, behördliche oder gesetzliche Anforderungen, die Empfehlungen zu Kriterien vorgeben oder bereitstellen, die von den Sicherheitskontrollen Ihrer Organisation erfüllt werden müssen?Compliance: Are there specific industry, government, or regulatory requirements that dictate or provide recommendation on criteria that your organization’s security controls must meet? Beispiele für solche Standards, Organisationen, Kontrollen und gesetzlichen Vorgaben finden Sie in ISO27001, NIST und PCI-DSS.Examples of such standards, organizations, controls, and legislation are ISO27001, NIST, PCI-DSS.

Die gemeinschaftliche Aufgabe von Organisationen besteht darin, die Sicherheitsstandards der Organisation über ihren Lebenszyklus zu verwalten:The collective role of organization(s) is to manage the security standards of the organization through their lifecycle:

  • Definieren: Festlegung von Organisationsstandards und -richtlinien für Methoden, Technologien und Konfigurationen auf Grundlage interner Faktoren (Organisationskultur, Risikobereitschaft, Ressourcenbewertung, Geschäftsinitiativen usw.) und externer Faktoren (Benchmarks, gesetzliche Standards, Bedrohungsumfeld usw.)Define - Set organizational standards and policies for practices, technologies, and configurations based on internal factors (organizational culture, risk appetite, asset valuation, business initiatives, etc.) and external factors (benchmarks, regulatory standards, threat environment, and more)

  • Verbessern: Ständige Weiterentwicklung dieser Standards hin zum Idealzustand, um eine kontinuierliche Risikominderung zu gewährleisten.Improve – Continually push these standards incrementally forward towards the ideal state to ensure continual risk reduction.

  • Bewahren: Einführung von Überprüfung und Überwachung der Compliance mit Organisationsstandards zur Sicherstellung, dass sich der Sicherheitsstatus im Laufe der Zeit nicht verschlechtert.Sustain – Ensure the security posture doesn’t degrade naturally over time by instituting auditing and monitoring compliance with organizational standards.

Priorisieren von Investitionen in bewährte SicherheitsmethodenPrioritize security best practices investments

Bewährte Sicherheitsmethoden werden im Idealfall proaktiv und vollständig auf alle Systeme angewendet, während Sie Ihr Cloudprogramm erstellen. Das ist aber für die meisten Unternehmen nicht die Realität.Security best practices are ideally applied proactively and completely to all systems as you build your cloud program, but this isn’t reality for most enterprise organizations. Geschäftsziele, Projekteinschränkungen und andere Faktoren bewirken häufig, dass Organisationen das Sicherheitsrisiko gegen andere Risiken abwägen und nur eine Teilmenge der bewährten Methoden an einem bestimmten Punkt anwenden.Business goals, project constraints, and other factors often cause organizations to balance security risk against other risks and apply a subset of best practices at any given point.

Es wird empfohlen, so früh wie möglich möglichst viele bewährte Methoden anzuwenden und dann bei der Optimierung des Sicherheitsprogramms im Laufe der Zeit alle Lücken zu schließen.We recommend applying as many as of the best practices as early as possible, and then working to retrofit any gaps over time as you mature your security program. Bei der Festlegung der Reihenfolge für die Priorisierung sollten folgende Überlegungen ausschlaggebend sein:We recommend evaluating the following considerations when prioritizing which to follow first:

  • Systeme mit hoher geschäftlicher Auswirkung und hoher Verfügbarkeit: Dazu gehören Systeme mit direktem Eigenwert sowie Systeme, die Angreifern einen Zugangspfad bereitstellen.High business impact and highly exposed systems: These include systems with direct intrinsic value as well as the systems that provide attackers a path to them. Weitere Informationen finden Sie unter Identifizieren und Klassifizieren von unternehmenskritischen Anwendungen.For more information, see Identify and classify business critical applications.

  • Am einfachsten zu implementierende Gegenmaßnahmen: Erzielen schneller Ergebnisse, indem Sie die bewährten Methoden priorisieren, die von Ihrer Organisation schnell umgesetzt werden können, da Sie bereits über die erforderlichen Kenntnisse, Tools und Fähigkeiten verfügen (z. B. Implementieren einer Web App Firewall (WAF) zum Schutz einer Legacyanwendung).Easiest to implement mitigations: Identify quick wins by prioritizing the best practices, which your organization can execute quickly because you already have the required skills, tools, and knowledge to do it (for example, implementing a Web App Firewall (WAF) to protect a legacy application). Achten Sie darauf, dass Sie diese kurzfristige Priorisierungsmethode nicht ausschließlich (oder übermäßig) verwenden.Be careful not to exclusively use (or overuse) this short-term prioritization method. Dadurch kann sich das Risiko erhöhen, da ein Wachsen Ihres Programms verhindert wird und kritische Risiken über längere Zeiträume bestehen bleiben.Doing so can increase your risk by preventing your program from growing and leaving critical risks exposed for extended periods.

Microsoft stellt einige Listen mit priorisierten Sicherheitsinitiativen bereit, damit Organisationen bei diesen Entscheidungen auf unsere Erfahrungen mit Bedrohungen sowie Initiativen für Gegenmaßnahmen in unseren eigenen Umgebungen und bei unseren Kunden zurückgreifen können.Microsoft has provided some prioritized lists of security initiatives to help organizations start with these decisions based on our experience with threats and mitigation initiatives in our own environments and across our customers. Informationen finden Sie in Modul 4a des Microsoft CISO Workshop.See Module 4a of the Microsoft CISO Workshop.

Einsetzen der Azure-SicherheitsbewertungOperationalize Azure Secure Score

Weisen Sie Beteiligte in Azure Security Center zu, damit sie die Sicherheitsbewertung verwenden, um das Risikoprofil zu überwachen und den Sicherheitsstatus fortlaufend zu verbessern.Assign stakeholders to use Secure Score in Azure Security Center to monitor risk profile and continuously improve security posture. Dadurch lässt sich der Sicherheitsstatus kontinuierlich optimieren, indem allgemeine Sicherheitsrisiken schnell erkannt und behoben werden und so das Risiko der Organisation erheblich reduziert werden kann.This will help you continuously improve your security posture by rapidly identifying and remediating common security hygiene risks, which can significantly reduce your organization's risk. Richten Sie ein Intervall (in der Regel monatlich) ein, um die Azure-Sicherheitsbewertung zu prüfen und Initiativen mit bestimmten Optimierungszielen zu planen.Set up a regular cadence (typically monthly) to review Azure secure score and plan initiatives with specific improvement goals. Außerdem sollten Sie die Aktivität nach Möglichkeit spielerisch gestalten, um das Engagement und das Interesse der verantwortlichen Teams zu steigern (z. B. mit einem freundschaftlichen Wettbewerb um die höchste Steigerung der Bewertung).You should also look into gamifying the activity if possible to increase engagement and focus from the responsible teams (e.g. creating a friendly competition on who increased their score more).

HINWEIS: Die Verwaltung des Sicherheitsstatus ist eine Funktion, die sich noch im Aufbau befindet. Zuständig kann ein eigenes Team oder mindestens ein bestehendes Team sein, wie weiter unten beschrieben.NOTE: Security posture management is an emerging function, this may be a single dedicated team or the responsibility may be taken on by one or more existing teams described below. Weitere Informationen finden Sie unter LINK ZUR ORGANISATIONSFUNKTION.See LINK TO ORGANIZATIONAL FUNCTION for more details.

Überwachen der SicherheitsbewertungMonitor Secure Score

BewertungsbereichScore Area Zuständiges TeamResponsible Team
Überwachen der Sicherheitsbewertung und Nachverfolgung mit technischen TeamsMonitor Secure Score and Follow up with technical teams
  • Team für SicherheitsstatusverwaltungSecurity Posture Management Team
  • Verwaltung von Sicherheitsrisiken (oder Governance-/Risiko-/Complianceteam)Vulnerability Management (or Governance/Risk/Compliance team)
  • ArchitekturteamArchitecture Team
  • Zuständiges technisches Team (siehe unten)Responsible Technical Team (listed below)
  • Sicherheitsbewertung verbessernImprove Secure Score

    Compute- und App-RessourcenCompute and Apps Resources Zuständiges technisches TeamResponsible Technical Team
    App-DiensteApp Services Anwendungsentwicklungs-/Sicherheitsteam(s)Application Development/Security Team(s)
    ContainerContainers Anwendungsentwicklung und/oder Infrastruktur-/IT-BetriebApplication Development and/or Infrastructure/IT Operations
    VMs/Skalierungsgruppen/ComputeVMs/Scale sets/compute IT-/InfrastrukturbetriebIT/Infrastructure Operations
    Daten- und SpeicherressourcenData & Storage Resources Zuständiges technisches TeamResponsible Technical Team
    SQL/Redis/Data Lake Analytics/Data Lake StoreSQL/Redis/Data Lake Analytics/Data Lake Store DatenbankteamDatabase Team
    SpeicherkontenStorage Accounts Speicher-/InfrastrukturteamStorage/Infrastructure Team
    Identitäts- und ZugriffsressourcenIdentity and Access Resources Zuständiges technisches TeamResponsible Technical Team
    AbonnementsSubscriptions Identitätsteam(s)Identity Team(s)
    Key VaultKey Vault Informations-/DatensicherheitsteamInformation/Data Security Team
    NetzwerkressourcenNetworking Resources Zuständiges technisches TeamResponsible Technical Team
    NetzwerkressourcenNetworking Resources
  • NetzwerkteamNetworking Team
  • NetzwerksicherheitsteamNetwork Security Team
  • IoT-SicherheitIoT Security Zuständiges technisches TeamResponsible Technical Team
    IoT-RessourcenIoT Resources IoT-BetriebsteamIoT Operations Team

    HINWEIS: Beachten Sie, dass einige Anwendungsteams im DevOps-Modell für Ihre eigenen Anwendungsressourcen verantwortlich sein können.NOTE: Note that in the DevOps model, some application teams may be responsible for their own application resources.

    Verwalten von verbundenen MandantenManage connected tenants

    Stellen Sie sicher, dass Ihre Sicherheitsorganisation alle Registrierungen und zugeordneten Abonnements, die mit Ihrer vorhandenen Umgebung (über ExpressRoute oder Site-to-Site-VPN) verbunden sind, sowie die Überwachung als Teil des gesamten Unternehmens berücksichtigt.Ensure your security organization is aware of all enrollments and associated subscriptions connected to your existing environment (via ExpressRoute or Site-Site VPN) and monitoring as part of the overall enterprise.

    Diese Azure-Ressourcen sind Teil Ihrer Unternehmensumgebung und müssen für Sicherheitsorganisationen sichtbar sein.These azure resources are part of your enterprise environment and security organizations require visibility into them. Sicherheitsorganisationen benötigen diesen Zugriff, um das Risiko zu bewerten und festzustellen, ob Organisationsrichtlinien und geltende gesetzliche Anforderungen eingehalten werden.Security organizations need this access to assess risk and to identify whether organizational policies and applicable regulatory requirements are being followed.

    Stellen Sie sicher, dass in allen Azure-Umgebungen, die mit Ihrer Produktionsumgebung/dem Netzwerk verbunden sind, die Richtlinien und IT-Governancekontrollen Ihrer Organisation für die Sicherheit angewendet werden.Ensure all Azure environments that connect to your production environment/network apply your organization’s policy and IT governance controls for security. Mit einem von Microsoft bereitgestellten Tool können Sie vorhandene verbundene Mandanten ermitteln.You can discover existing connected tenants using a tool provided by Microsoft. Anleitungen zu Berechtigungen, die Sie der Sicherheit zuweisen können, finden Sie im Abschnitt Zuweisen von Berechtigungen zum Verwalten der Umgebung.Guidance on permissions you may assign to security is in the Assign privileges for managing the environment section.

    Eindeutige VerantwortlichkeitsbereicheClear lines of responsibility

    Festlegen der Parteien, die für bestimmte Funktionen in Azure verantwortlich sindDesignate the parties responsible for specific functions in Azure

    Die klare Dokumentation und Weitergabe der Kontakte, die für jede dieser Funktionen verantwortlichen sind, schafft Konsistenz und erleichtert die Kommunikation.Clearly documenting and sharing the contacts responsible for each of these functions will create consistency and facilitate communication. Nach unseren Erfahrungen bei vielen Cloudeinführungsprojekten wird dadurch Verwirrung vermieden, die zu menschlichen und Automatisierungsfehlern führen kann, die ein Sicherheitsrisiko darstellen.Based on our experience with many cloud adoption projects, this will avoid confusion that can lead to human and automation errors that create security risk.

    Legen Sie Gruppen (oder einzelne Rollen) fest, die für die folgenden Schlüsselfunktionen verantwortlich sind:Designate groups (or individual roles) that will be responsible for these key functions:

    Gruppe oder einzelne RolleGroup or individual role VerantwortlichkeitResponsibility
    NetzwerksicherheitNetwork Security Üblicherweise das bestehende Netzwerksicherheitsteam.Typically existing network security team. Konfiguration und Wartung von Azure Firewall, virtuellen Netzwerkgeräten (und zugehörigem Routing), WAFs, NSGs, ASGs usw.Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc.
    NetzwerkverwaltungNetwork Management Üblicherweise das bestehende Netzwerkbetriebsteam.Typically existing network operations team. Unternehmensweite Zuordnung zu virtuellem Netzwerk und Subnetz.Enterprise-wide virtual network and subnet allocation.
    ServerendpunktsicherheitServer Endpoint Security Üblicherweise IT-Betriebsteam, Sicherheitsteam oder beides gemeinsam.Typically IT operations, security, or jointly. Überwachen und Korrigieren der Serversicherheit (Patching, Konfiguration, Endpunktsicherheit usw.).Monitor and remediate server security (patching, configuration, endpoint security, etc.).
    Überwachung und Reaktion auf IncidentsIncident Monitoring and Response Üblicherweise das Team für Sicherheitsvorgänge.Typically security operations team. Untersuchen und Beheben von Sicherheitsincidents in Security Information and Event Management (SIEM) oder der Quellkonsole.Investigate and remediate security incidents in Security Information and Event Management (SIEM) or source console.
    RichtlinienverwaltungPolicy Management Üblicherweise GRC-Team und Architektur.Typically GRC team + Architecture. Festlegen von Anweisungen für die Verwendung der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC), Azure Security Center, Administrator-Schutzstrategie und Azure Policy zum Steuern von Azure-Ressourcen.Set Direction for use of Role Based Access Control (RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources.
    Identitätssicherheit und -standardsIdentity Security and Standards Üblicherweise Sicherheitsteam und Identitätsteam gemeinsam.Typically Security Team + Identity Team jointly. Festlegen von Anweisungen für Azure AD-Verzeichnisse, PIM/PAM-Verwendung, MFA, Kennwort-/Synchronisierungskonfiguration, Anwendungsidentitätsstandards.Set direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards.

    Strategie der UnternehmenssegmentierungEnterprise segmentation strategy

    Ermitteln Sie Gruppen von Ressourcen, die von anderen Teilen des Unternehmens isoliert werden können, um Bewegungen von Angreifern innerhalb Ihres Unternehmens einzudämmen (und zu erkennen).Identify groups of resources that can be isolated from other parts of the enterprise to contain (and detect) adversary movement within your enterprise. Diese einheitliche Strategie der Unternehmenssegmentierung leitet alle technischen Teams zur einer konsistenten Segmentierung des Zugriffs mithilfe von Netzwerken, Anwendungen, Identitäten und anderen Zugriffssteuerungen an.This unified enterprise segmentation strategy will guide all technical teams to consistently segment access using networking, applications, identity, and any other access controls.

    Eine klare und einfache Segmentierungsstrategie hilft, Risiken zu begrenzen, und ermöglicht gleichzeitig Produktivität und Geschäftsvorgänge.A clear and simple segmentation strategy helps contain risk while enabling productivity and business operations.

    Eine Strategie der Unternehmenssegmentierung wird auf höherer Ebene definiert als eine herkömmliche Sicherheitsstrategie der „Netzwerksegmentierung“ .An enterprise segmentation strategy is defined higher than a traditional “network segmentation” security strategy. Herkömmliche Segmentierungsansätze für lokale Umgebungen konnten ihre Ziele häufig nicht erreichen, da sie von verschiedenen technischen Teams „von unten nach oben“ entwickelt wurden und nicht gut auf geschäftliche Anwendungsfälle und Anwendungsworkloads abgestimmt waren.Traditional segmentation approaches for on premises environments frequently failed to achieve their goals because they were developed “bottom-up” by different technical teams and were not aligned well with business use cases and application workloads. Dies führte zu übergroßer Komplexität, die Supportprobleme mit sich bringt und häufig den ursprünglichen Zweck durch weitreichende Ausnahmen bei der Netzwerkfirewall untergräbt.This resulted in overwhelming complexity that generates support issues and often undermines the original purpose with broad network firewall exceptions.

    Durch das Erstellen einer einheitlichen Strategie der Unternehmenssegmentierung kann diese allen beteiligten technischen Teams (IT, Sicherheit, Anwendungen usw.) als Vorgabe dienen. Geschäftseinheiten, die mit den geschäftlichen Risiken und Anforderungen in Zusammenhang stehen, sorgen für eine stärke Ausrichtung auf die Nachhaltigkeit der Sicherheitsversprechen und verstehen und unterstützen diese.Creating a unified enterprise segmentation strategy enables to guide all technical teams stakeholders (IT, Security, Applications, etc.) Business Units that is built around the business risks and needs will increase alignment to and understand and support sustainability of the security containment promises. Durch diese Klarheit und Ausrichtung wird auch das Risiko von menschlichen und Automatisierungsfehlern verringert, die zu Sicherheitsrisiken, Betriebsausfällen oder beidem führen können.This clarity and alignment will also reduce s the risk of human errors and automation failures that can lead to security vulnerabilities, operational downtime, or both.

    Zwar verspricht auch die Mikrosegmentierung des Netzwerks eine Reduzierung des Risikos (im Abschnitt Netzwerksicherheit und -kapselung ausführlicher erläutert), doch ist trotzdem eine Ausrichtung der technischen Teams erforderlich.While network micro-segmentation also offers promise to reduce risk (discussed more in Network Security and Containment section), it doesn’t eliminate the need to align technical teams. Eine Mikrosegmentierung sollte in Betracht gezogen werden, nachdem die Ausrichtung der technischen Teams sichergestellt wurde, sodass ein Wiederauftreten der internen Konflikte sowie Verwirrung bei den Segmentierungsstrategien zur lokalen Netzwerkgenerierung vermieden werden können.Micro segmentation should be considered after to and plans to ensure the ensuring technical teams are aligned so you can avoid a recurrence of the internal conflicts that plagued and confusion of the on-premises network generation segmentation strategies.

    Nachfolgend sind Empfehlungen von Microsoft für die Priorisierung von Initiativen zur Kapselung und Segmentierung (basierend auf Zero Trust-Prinzipien) aufgeführt.Here are Microsoft's recommendations for prioritizing initiatives on containment and segmentation (based on Zero Trust principles). Diese Empfehlungen sind in der Reihenfolge ihrer Priorität nach größter Bedeutung aufgelistet.These recommendations are listed in priority order by highest importance.

    • Stellen Sie die Ausrichtung von technischen Teams an einer einzelnen Strategie der Unternehmenssegmentierung sicher.Ensure alignment of technical teams to a single enterprise segmentation strategy.

    • Investieren Sie in eine erweiterte Kapselung, indem Sie ein modernes Umfeld auf Grundlage von Zero Trust-Prinzipien mit Schwerpunkt auf Identität, Gerät, Anwendungen und anderen Signale erstellen (um die Einschränkung von Netzwerkkontrollen zum Schutz neuer Ressourcen und Angriffstypen zu umgehen).Invest in broadening containment by establishing a modern perimeter based on zero trust principles focused on identity, device, applications, and other signals (to overcome limitation of network controls to protect new resources and attack types).

    • Verstärken von Netzwerkkontrollen für Legacyanwendungen durch Erkunden von Strategien der Mikrosegmentierung.Bolster network controls for legacy applications by exploring micro segmentation strategies.

    Eine gute Strategie der Unternehmenssegmentierung erfüllt folgende Kriterien:A good enterprise segmentation strategy meets these criteria:

    • Ermöglicht Vorgänge: Minimiert Probleme bei Vorgängen durch Anpassung an Geschäftsmethoden und Anwendungen.Enables Operations – Minimizes operation friction by aligning to business practices and applications

    • Dämmt Risiken ein: Steigert Kosten und Probleme für Angreifer auf folgende Weise:Contains Risk - Adds cost and friction to attackers by

      • Isolieren sensibler Workloads von der Gefährdung durch andere RessourcenIsolating sensitive workloads from compromise of other assets

      • Isolieren von Systemen mit hoher Verfügbarkeit von der Verwendung als Einstiegspunkt in andere SystemeIsolating high exposure systems from being used as a pivot to other systems

    • Überwacht: Sicherheitsvorgänge sollten auf potenzielle Verstöße gegen die Integrität der Segmente (Kontonutzung, unerwarteter Datenverkehr usw.) überwachen.Monitored – Security Operations should monitor for potential violations of the integrity of the segments (account usage, unexpected traffic, etc.)

    Screenshot einer automatisch generierten Beschreibung für ein Mobiltelefon

    Transparenz für SicherheitsteamsSecurity team visibility

    Bereitstellen von schreibgeschütztem Zugriff für Sicherheitsteams auf die Sicherheitsaspekte aller technischen Ressourcen im jeweiligen ZuständigkeitsbereichProvide security teams read-only access to the security aspects of all technical resources in their purview

    Sicherheitsorganisationen benötigen Einblick in die technische Umgebung, um ihre Aufgaben der Bewertung und Berichterstellung zu Risiken für die Organisation zu erfüllen.Security organizations require visibility into the technical environment to perform their duties of assessing and reporting on organizational risk. Ohne diese Transparenz muss sich die Sicherheit auf Informationen von Gruppen stützen, die die Umgebung betreiben und einen potenziellen Interessenkonflikt (und andere Prioritäten) aufweisen.Without this visibility, security will have to rely on information provided from groups operating the environment who have a potential conflict of interest (and other priorities).

    Beachten Sie, dass Sicherheitsteams separat zusätzliche Berechtigungen erteilt werden können, wenn Sie operative Pflichten haben oder Compliance für Azure-Ressourcen erzwingen müssen.Note that security teams may separately be granted additional privileges if they have operational responsibilities or a requirement to enforce compliance on Azure resources.

    Weisen Sie beispielsweise Sicherheitsteams in Azure die Berechtigung Sicherheitsleseberechtigte zu, die Zugriff auf das Messen des Sicherheitsrisikos bietet (ohne Zugriff auf die Daten selbst zu gewähren).For example in Azure, assign security teams to the Security Readers permission that provides access to measure security risk (without providing access to the data itself)

    Für Sicherheitsgruppen im Unternehmen mit weitreichender Verantwortung für die Sicherheit von Azure können Sie diese Berechtigung auf folgende Arten zuweisen:For enterprise security groups with broad responsibility for security of Azure, you can assign this permission using:

    • Stammverwaltungsgruppe: Für Teams, die für die Bewertung und Berichterstellung zu Risiken für alle Ressourcen zuständig sind.Root management group – for teams responsible for assessing and reporting risk on all resources

    • Segmentverwaltungsgruppe(n) : Für Teams mit eingeschränktem Verantwortlichkeitsbereich (normalerweise aufgrund von Organisationsgrenzen oder gesetzlichen Anforderungen erforderlich).Segment management group(s) – for teams with limited scope of responsibility (typically required because of organizational boundaries or regulatory requirements)

    Da die Sicherheit umfassenden Zugriff auf die Umgebung (und Einblick in potenziell ausnutzbare Sicherheitsrisiken) hat, sollten Sie sie als Konten mit potenziell kritischen Auswirkungen betrachten und dieselben Schutzmaßnahmen wie bei Administratoren anwenden.Because security will have broad access to the environment (and visibility into potentially exploitable vulnerabilities), you should consider them critical impact accounts and apply the same protections as administrators. Diese Steuerelemente für Azure werden im Abschnitt Verwaltung ausführlich erläutert.The Administration section details these controls for Azure.

    Zuweisen von Berechtigungen für das Verwalten der UmgebungAssign privileges for managing the environment

    Gewähren Sie Rollen mit operativen Zuständigkeiten in Azure die entsprechenden Berechtigungen auf Grundlage einer klar dokumentierten Strategie, die auf dem Prinzip der geringsten Rechte und ihren betrieblichen Anforderungen basiert.Grant roles with operational responsibilities in Azure the appropriate permissions based on a clearly documented strategy built from the principle of least privilege and your operational needs.

    Das Bereitstellen klarer Richtlinien, die einem Referenzmodell folgen, verringert das Risiko, da sie Klarheit für die technischen Teams schaffen, die diese Berechtigungen implementieren.Providing clear guidance that follows a reference model will reduce risk because by increasing it provides clarity for your technical teams implementing these permissions. Diese Klarheit erleichtert das Erkennen und Korrigieren menschlicher Fehler, z.B. zu hohe Berechtigungen, und reduziert so das Gesamtrisiko.This clarity makes it easier to detect and correct human errors like overpermissioning, reducing your overall risk.

    Microsoft empfiehlt, mit diesen Microsoft-Referenzmodellen zu beginnen und sie an Ihre Organisation anzupassen.Microsoft recommends starting from these Microsoft reference models and adapting to your organization.

    Referenzberechtigungen für KerndiensteCore Services Reference Permissions

    Dieses Segment hostet gemeinsame Dienste, die in der gesamten Organisation verwendet werden.This segment hosts shared services utilized across the organization. Diese gemeinsamen Dienste umfassen in der Regel Active Directory Domain Services, DNS/DHCP und Systemverwaltungstools, die auf virtuellen IaaS-Computern (Infrastructure-as-a-Service) gehostet werden.These shared services typically include Active Directory Domain Services, DNS/DHCP, System Management Tools hosted on Azure Infrastructure as a Service (IaaS) virtual machines.

    Sicherheitstransparenz für alle Ressourcen: Gewähren Sie Sicherheitsteams den schreibgeschützten Zugriff auf Sicherheitsattribute für alle technischen Umgebungen.Security Visibility across all resources – For security teams, grant read-only access to security attributes for all technical environments. Diese Zugriffsebene ist erforderlich, um Risikofaktoren zu bewerten, potenzielle Gegenmaßnahmen zu erkennen und Beteiligte in der Organisation zu informieren, die das Risiko akzeptieren.This access level is needed to assess risk factors, identify potential mitigations, and advise organizational stakeholders who accept the risk. Weitere Informationen finden Sie unter Transparenz für Sicherheitsteams.See Security Team Visibility for more details.

    Richtlinienverwaltung für einige oder alle Ressourcen: Zum Überwachen und Erzwingen von Compliance mit externen (oder internen) Vorschriften, Standards und Sicherheitsrichtlinien weisen Sie diesen Rollen entsprechende Berechtigungen zu.Policy management across some or all resources – To monitor and enforce compliance with external (or internal) regulations, standards, and security policy, assign appropriate permission to those roles. Welche Rollen und Berechtigungen Sie auswählen, richtet sich nach der Organisationskultur und den Erwartungen an das Richtlinienprogramm.The roles and permissions you choose will depend on the organizational culture and expectations of the policy program. Informationen finden Sie unter Framework für die Einführung der Microsoft Cloud (Microsoft Cloud Adoption Framework).See Microsoft Cloud Adoption Framework for Azure.

    Zentrale IT-Vorgänge für alle Ressourcen: Erteilen Sie Berechtigungen für die zentrale IT-Abteilung (häufig das Infrastrukturteam) zum Erstellen, Ändern und Löschen von Ressourcen wie virtuellen Computern und Speicher.Central IT operations across all resources – Grant permissions to the central IT department (often the infrastructure team) to create, modify, and delete resources like virtual machines and storage.

    Zentrale Netzwerkgruppe für alle Netzwerkressourcen: Um Konsistenz sicherzustellen und technische Konflikte zu vermeiden, weisen Sie die Zuständigkeit für Netzwerkressourcen einer einzelnen zentralen Netzwerkorganisation zu.Central networking group across network resources – To ensure consistency and avoid technical conflicts, assign network resource responsibilities to a single central networking organization. Diese Ressourcen sollten virtuelle Netzwerke, Subnetze, Netzwerksicherheitsgruppen (NSG) und die virtuellen Computer umfassen, auf denen virtuelle Netzwerkgeräte gehostet werden.These resources should include virtual networks, subnets, Network Security Groups (NSG), and the virtual machines hosting virtual network appliances. Weitere Informationen finden Sie unter Zentralisieren der Netzwerkverwaltung und -sicherheit.See Centralize Network Management And Security for more details

    Ressourcenrollenberechtigungen: Für die meisten Kerndienste werden Administratorrechte, die für die Verwaltung erforderlich sind, über die Anwendung selbst erteilt (Active Directory, DNS/DHCP, Systemverwaltungstools usw.), sodass keine zusätzlichen Azure-Ressourcenberechtigungen erforderlich sind.Resource Role Permissions – For most core services, administrative privileges required to manage them are granted via the application itself (Active Directory, DNS/DHCP, System Management Tools, etc.), so no additional Azure resource permissions are required. Wenn Ihr Organisationsmodell erfordert, dass diese Teams ihre eigenen VMs, den Speicher oder andere Azure-Ressourcen verwalten, können Sie diesen Rollen diese Berechtigungen zuweisen.If your organizational model requires these teams to manage their own VMs, storage, or other Azure resources, you can assign these permissions to those roles.

    Dienstadministrator (Notfallkonto) : Verwenden Sie die Dienstadministratorrolle nur für Notfälle (und bei Bedarf für die anfängliche Einrichtung).Service admin (Break Glass Account) – Use the service admin role only for emergencies (and initial setup if required). Verwenden Sie diese Rolle nicht für alltägliche Aufgaben.Do not use this role for daily tasks. Weitere Informationen finden Sie unter Notfallzugriff (Notfallkonten).See Emergency Access (‘Break Glass’ Accounts) for more details.

    Screenshot einer automatisch generierten Beschreibung für ein Mobiltelefon

    SegmentreferenzberechtigungenSegment reference permissions

    Dieser Segmentberechtigungsentwurf bietet Konsistenz bei gleichzeitiger Flexibilität, um die Bandbreite der Organisationsmodelle von einer einzelnen zentralen IT-Gruppe bis hin zu weitgehend unabhängigen IT- und DevOps-Teams abzudecken.This segment permission design provides consistency while allowing flexibility to accommodate the range of organizational models from a single centralized IT group to mostly independent IT and DevOps teams.

    Sicherheitstransparenz für alle Ressourcen: Gewähren Sie Sicherheitsteams den schreibgeschützten Zugriff auf Sicherheitsattribute für alle technischen Umgebungen.Security visibility across all resources – For security teams, grant read-only access to security attributes for all technical environments. Diese Zugriffsebene ist erforderlich, um Risikofaktoren zu bewerten, potenzielle Gegenmaßnahmen zu erkennen und Beteiligte in der Organisation zu informieren, die das Risiko akzeptieren.This access level is needed to assess risk factors, identify potential mitigations, and advise organizational stakeholders who accept the risk. Informationen finden Sie unter Transparenz für Sicherheitsteams.See Security Team Visibility.

    Richtlinienverwaltung für einige oder alle Ressourcen: Zum Überwachen und Erzwingen von Compliance mit externen (oder internen) Vorschriften, Standards und Sicherheitsrichtlinien weisen Sie diesen Rollen entsprechende Berechtigungen zu.Policy management across some or all resources – To monitor and enforce compliance with external (or internal) regulations, standards, and security policy assign appropriate permission to those roles. Welche Rollen und Berechtigungen Sie auswählen, richtet sich nach der Organisationskultur und den Erwartungen an das Richtlinienprogramm.The roles and permissions you choose will depend on the organizational culture and expectations of the policy program. Informationen finden Sie unter Framework für die Einführung der Microsoft Cloud (Microsoft Cloud Adoption Framework).See Microsoft Cloud Adoption Framework for Azure.

    IT-Vorgänge für alle Ressourcen: Erteilen Sie die Berechtigung zum Erstellen, Ändern und Löschen von Ressourcen.IT Operations across all resources – Grant permission to create, modify, and delete resources. Der Zweck des Segments (und die resultierenden Berechtigungen) hängt von ihrer Organisationsstruktur ab.The purpose of the segment (and resulting permissions) will depend on your organization structure.

    • Segmente mit Ressourcen, die von einer zentralen IT-Organisation verwaltet werden, können der zentralen IT-Abteilung (häufig das Infrastrukturteam) die Berechtigung zum Ändern dieser Ressourcen erteilen.Segments with resources managed by a centralized IT organization can grant the central IT department (often the infrastructure team) permission to modify these resources.

    • Segmente, die von unabhängigen Geschäftseinheiten oder -funktionen (z. B. einem Personal-IT-Team) verwaltet werden, können diesen Teams die Berechtigung für alle Ressourcen im Segment erteilen.Segments managed by independent business units or functions (such as a Human Resources IT Team) can grant those teams permission to all resources in the segment.

    • Segmente mit autonomen DevOps-Teams müssen keine Berechtigungen für alle Ressourcen erteilen, da die Ressourcenrolle (unten) Berechtigungen für Anwendungsteams erteilt.Segments with autonomous DevOps teams don’t need to grant permissions across all resources because the resource role (below) grants permissions to application teams. Verwenden Sie für Notfälle das Dienstadministratorkonto (Notfallkonto).For emergencies, use the service admin account (break-glass account).

    Zentrale Netzwerkgruppe für alle Netzwerkressourcen: Um Konsistenz sicherzustellen und technische Konflikte zu vermeiden, weisen Sie die Zuständigkeit für Netzwerkressourcen einer einzelnen zentralen Netzwerkorganisation zu.Central networking group across network resources – To ensure consistency and avoid technical conflicts, assign network resource responsibilities to a single central networking organization. Diese Ressourcen sollten virtuelle Netzwerke, Subnetze, Netzwerksicherheitsgruppen (NSG) und die virtuellen Computer umfassen, auf denen virtuelle Netzwerkgeräte gehostet werden.These resources should include virtual networks, subnets, Network Security Groups (NSG), and the virtual machines hosting virtual network appliances. Informationen finden Sie unter Zentralisieren der Netzwerkverwaltung und -sicherheit.See Centralize Network Management And Security.

    Ressourcenrollenberechtigungen: Segmente mit autonomen DevOps-Teams verwalten die Ressourcen, die den einzelnen Anwendungen zugeordnet sind.Resource Role Permissions – Segments with autonomous DevOps teams will manage the resources associated with each application. Die tatsächlichen Rollen und ihre Berechtigungen hängen von der Größe und Komplexität der Anwendung, der Größe und Komplexität des Anwendungsteams sowie der Kultur der Organisation und des Anwendungsteams ab.The actual roles and their permissions depend on the application size and complexity, the application team size and complexity, and the culture of the organization and application team.

    Dienstadministrator (Notfallkonto) : Verwenden Sie die Dienstadministratorrolle nur für Notfälle (und bei Bedarf für die anfängliche Einrichtung).Service Admin (Break Glass Account) – Use the service admin role only for emergencies (and initial setup if required). Verwenden Sie diese Rolle nicht für alltägliche Aufgaben.Do not use this role for daily tasks. Weitere Informationen finden Sie unter Notfallzugriff (Notfallkonten).See Emergency Access (‘Break Glass’ Accounts) for more details.

    Leitfaden und Tipps zu BerechtigungenPermission Guidance and Tips

    • Um die Konsistenz zu erhöhen und die Anwendung auf zukünftige Abonnements sicherzustellen, sollten Berechtigungen in der Verwaltungsgruppe für das Segment und nicht für die einzelnen Abonnements zugewiesen werden.To drive consistency and ensure application to future subscriptions, permissions should be assigned at management group for the segment rather than the individual subscriptions. Weitere Informationen finden Sie unter Vermeiden differenzierter und benutzerdefinierter Berechtigungen.See Avoid Granular and Custom Permissions for more details.

    • Zuerst sollten Sie die integrierten Rollen überprüfen, um festzustellen, ob eine davon anwendbar ist, bevor Sie eine benutzerdefinierte Rolle erstellen, um VMs und anderen Objekten die geeigneten Berechtigungen zu erteilen.You should first review the built-in roles to see if one is applicable before creating a custom role to grant the appropriate permissions to VMs and other objects. Weitere Informationen finden Sie unter Verwenden integrierter Rollen.See Use Built in Roles for more details

    • Eine Mitgliedschaft in der Gruppe Sicherheits-Manager kann für kleinere Teams/Organisationen geeignet sein, in denen Sicherheitsteams über umfassende operative Zuständigkeiten verfügen.Security managers group membership may be appropriate for smaller teams/organizations where security teams have extensive operational responsibilities.

    Einrichten der Segmentierung mit VerwaltungsgruppenEstablish segmentation with management groups

    Strukturieren Sie Verwaltungsgruppen in einem einfachen Entwurf, der das Unternehmenssegmentierungsmodell steuert.Structure management groups into a simple design that guides the enterprise segmentation model.

    Verwaltungsgruppen bieten die Möglichkeit einer konsistenten und effizienten Verwaltung von Ressourcen (einschließlich mehrerer Abonnements nach Bedarf).Management groups offer the ability to consistently and efficiently manage resources (including multiple subscriptions as needed). Aufgrund ihrer Flexibilität ist es jedoch möglich, dass ein übermäßig komplexer Entwurf erstellt wird.However, because of their flexibility, it's possible to create an overly complex design. Komplexität sorgt für Verwirrung und wirkt sich negativ auf die Vorgänge und die Sicherheit aus (wie es sich bei übermäßig komplexen Entwürfen mit Organisationseinheiten und Gruppenrichtlinienobjekten für Active Directory gezeigt hat).Complexity creates confusion and negatively impacts both operations and security (as illustrated by overly complex Organizational Unit (OU) and Group Policy Object (GPO) designs for Active Directory).

    Microsoft empfiehlt die Ausrichtung der obersten Verwaltungsgruppen an einer einfachen Strategie der Unternehmenssegmentierung, die auf ein oder zwei Ebenen beschränkt ist.Microsoft recommends aligning the top level of management groups (MGs) into a simple enterprise segmentation strategy limited to 1 or 2 levels.

    Sorgfältiges Verwenden der StammverwaltungsgruppeUse root management group carefully

    Verwenden Sie die Stammverwaltungsgruppe für Unternehmenskonsistenz, doch testen Sie Änderungen sorgfältig, um das Risiko einer Betriebsunterbrechung zu minimieren.Use the Root Management Group (MG) for enterprise consistency, but test changes carefully to minimize risk of operational disruption.

    Mit der Stammverwaltungsgruppe können Sie Konsistenz im gesamten Unternehmen sicherstellen, indem Richtlinien, Berechtigungen und Tags für alle Abonnements angewendet werden.The root management group enables you to ensure consistency across the enterprise by applying policies, permissions, and tags across all subscriptions. Beim Planen und Implementieren von Zuweisungen zur Stammverwaltungsgruppe ist jedoch Vorsicht geboten, da dies alle Ressourcen in Azure betreffen und im Falle von Fehlern oder unerwarteten Auswirkungen Ausfallzeiten oder andere negative Folgen für die Produktivität haben kann.Care must be taken when planning and implementing assignments to the root management group because this can affect every resource on Azure and potentially cause downtime or other negative impacts on productivity in the event of errors or unanticipated effects.

    Leitfaden für die Stammverwaltungsgruppe:Root management group guidance:

    • Sorgfältig planen: Wählen Sie unternehmensweite Elemente für die Stammverwaltungsgruppe aus, bei denen die eindeutige Anforderung besteht, sie auf jede Ressource anzuwenden, und/oder die geringe Auswirkungen haben.Plan Carefully - Select enterprise-wide elements to the root management group that have a clear requirement to be applied across every resource and/or low impact.

      Geeignet sind:Good candidates include:

      • Gesetzliche Anforderungen mit eindeutigen geschäftlichen Risiken/Auswirkungen (z.B. Einschränkungen im Zusammenhang mit der Datenhoheit)Regulatory requirements with clear business risk/impact (for example, restrictions related to data sovereignty).

      • Anforderungen mit nahezu keinen potenziellen negativen Auswirkungen auf den Betrieb wie Richtlinien mit der Auswirkung „audit“, Tagzuweisungen oder Zuweisungen von RBAC-Berechtigungen, die sorgfältig geprüft wurdenNear-zero potential negative impact on operations such as policy with audit effect, Tag assignment, RBAC permissions assignments that have been carefully reviewed.

    • Zuerst testen: Testen Sie alle unternehmensweiten Änderungen an der Stammverwaltungsgruppe vor der Anwendung sehr sorgfältig (Richtlinie, Tags, RBAC-Modell usw.) mit Folgendem:Test First - Carefully test all enterprise-wide changes on the root management group before applying (policy, tags, RBAC model, etc.) using a

      • Test Lab: Repräsentativer Lab-Mandant oder Lab-Segment im ProduktionsmandantenTest Lab - Representative lab tenant or lab segment in production tenant.

      • Pilotbereich für die Produktion: Segmentierte Verwaltungsgruppe oder festgelegte Teilmenge in Abonnement(s)/VerwaltungsgruppeProduction Pilot - Segment MG or Designated subset in subscription(s) / MG.

    • Änderungen überprüfen: Stellen Sie sicher, dass die Änderungen die gewünschte Auswirkung haben.Validate Changes – to ensure they have the desired effect.

    Sicherheitsupdates für virtuelle Computer (VM) und sichere KennwörterVirtual Machine (VM) security updates and strong passwords

    Stellen Sie sicher, dass Richtlinien und Prozesse eine schnelle Anwendung von Sicherheitsupdates auf virtuelle Computer ermöglichen (und erfordern).Ensure policy and processes enable (and require) rapid application of security updates to virtual machines.

    Angreifer scannen ständig öffentliche Cloud-IP-Adressbereiche nach offenen Verwaltungsports und probieren „einfache“ Angriffe mittels häufig verwendeter Kennwörter und ungepatchter Sicherheitslücken.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and unpatched vulnerabilities.

    Aktivieren Sie Azure Security Center, um fehlende Sicherheitsupdates zu erkennen und anzuwenden.Enable Azure Security Center to identify missing security updates & apply them.

    Local Admin Password Solution (LAPS) oder eine Privileged Access Management-Lösung von Drittanbietern kann sichere lokale Administratorkennwörter festlegen und den JIT-Zugriff (Just-In-Time) auf sie ermöglichen.Local Admin Password Solution (LAPS) or a third party Privileged Access Management can set strong local admin passwords and just in time access to them.

    Aufheben der direkten Internetverbindung von virtuellen Computern (VM)Remove Virtual Machine (VM) direct internet connectivity

    Stellen Sie sicher, dass Richtlinien und Prozesse eine Einschränkung und Überwachung direkter Internetverbindungen von virtuellen Computern erfordern.Ensure policy and processes require restricting and monitoring direct internet connectivity by virtual machines

    Angreifer scannen ständig öffentliche Cloud-IP-Adressbereiche nach offenen Verwaltungsports und probieren „einfache“ Angriffe mittels häufig verwendeter Kennwörter und bekannter ungepatchter Sicherheitslücken.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities

    Dies kann in Azure mit einer oder mehreren Methoden erreicht werden:This can be accomplished with one or more methods in Azure:

    • Unternehmensweite Vorbeugung: Verhindern Sie eine unbeabsichtigte Offenlegung mit einem Unternehmensnetzwerk und einem Berechtigungsmodell wie dem in diesem Leitfaden beschriebenen Referenzmodell.Enterprise-wide prevention - Prevent inadvertent exposure with an enterprise network and permission model such as the reference model described throughout this guidance. Dadurch wird das Risiko der versehentlichen Offenlegung eines virtuellen Computers im Internet durch Folgendes wesentlich reduziert:This significantly reduces the risk of accidental VM internet exposure by

      • Sicherstellung, dass der Netzwerkdatenverkehr standardmäßig über genehmigte Ausgangspunkte weitergeleitet wirdEnsuring that network traffic is routed through approved egress points by default

      • Ausnahmen (z.B. Hinzufügen einer öffentlichen IP-Adresse zu einer Ressource) müssen eine zentrale Gruppe durchlaufen (die Ausnahmeanforderungen sorgfältig auswerten kann, um sicherzustellen, dass entsprechende Kontrollen angewendet werden)Exceptions (for example, add a public IP address to a resource) must go through a centralized group (which can carefully evaluate exception requests to ensure appropriate controls are applied)

    • Erkennen und Beheben offengelegter virtueller Computer mithilfe der Netzwerkvisualisierung in Azure Security Center, um schnell im Internet offengelegte Ressourcen zu erkennenIdentify and Remediate exposed VMs using the Azure Security Center network visualization to quickly identify internet exposed resources.

    • Einschränken von Verwaltungsports (RDP, SSH ) mithilfe von Just-In-Time-Zugriff in Azure Security CenterRestrict management ports (RDP, SSH) using Just in Time access in Azure Security Center

    Zuweisen eines Kontakts für Benachrichtigungen über IncidentsAssign incident notification contact

    Stellen Sie sicher, dass ein Sicherheitskontakt Benachrichtigungen über Azure-Incidents von Microsoft empfängt. Dies ist in der Regel eine Benachrichtigung, dass Ihre Ressource gefährdet ist und/oder einen anderen Kunden angreift.Ensure a security contact receives Azure incident notifications from Microsoft typically a notification that your resource is compromised and/or attacking another customer.

    Dadurch kann Ihr Team für Sicherheitsvorgänge schnell auf potenzielle Sicherheitsrisiken reagieren und diese beheben.This enables your security operations team to rapidly respond to potential security risks and remediate them.

    Stellen Sie sicher, dass die Kontaktinformationen des Administrators im Azure-Registrierungsportal Kontaktinformationen enthalten, durch die das Team für Sicherheitsvorgänge (direkt oder schnell über einen internen Prozess) benachrichtigt wird.Ensure administrator contact information in the Azure enrollment portal includes contact information that will notify security operations (directly or rapidly via an internal process)

    Regelmäßiges Überprüfen des kritischen ZugriffsRegularly review critical access

    Überprüfen Sie regelmäßig die Rollen, denen Berechtigungen mit geschäftskritischer Auswirkung zugewiesen sind.Regularly review roles that are assigned privileges with a business-critical impact.

    Richten Sie ein wiederkehrendes Überprüfungsmuster ein, um sicherzustellen, dass Konten beim Ändern von Rollen aus Berechtigungen entfernt werden.Set up a recurring review pattern to ensure that accounts are removed from permissions as roles change. Sie können die Überprüfung manuell oder über einen automatisierten Prozess mithilfe von Tools wie Azure AD-Zugriffsüberprüfungen durchführen.You can conduct the review manually or through an automated process by using tools such as Azure AD access reviews.

    Erkennen und Beheben allgemeiner RisikenDiscover and remediate common risks

    Ermitteln Sie bekannte Risiken für Ihre Azure-Mandanten, beheben Sie diese Risiken, und verfolgen Sie Ihren Fortschritt mithilfe von Secure Score.Identity well known risks for your Azure tenants, remediate those risks, and track your progress using Secure Score.

    Durch das Ermitteln und Beheben allgemeiner Sicherheitsrisiken wird das Gesamtrisiko für Ihre Organisation wesentlich verringert, da die Kosten für Angreifer steigen.Identifying and remediating common security hygiene risks significantly reduces overall risk to your organization by increasing cost to attackers. Wenn Sie kostengünstige und bestens bekannte Angriffsvektoren entfernen, sind Angreifer gezwungen, erweiterte oder nicht getestete Angriffsmethoden zu erwerben und zu verwenden.When you remove cheap and well-established attack vectors, attackers are forced to acquire and use advanced or untested attack methods.

    Azure Secure Score in Azure Security Center überwacht den Sicherheitsstatus von Computern, Netzwerken, Speicher- und Datendiensten sowie Anwendungen, um potenzielle Sicherheitsprobleme zu ermitteln (mit dem Internet verbundene VMs oder fehlende Sicherheitsupdates, fehlender Endpunktschutz oder Endpunktverschlüsselung, Abweichungen von grundlegenden Sicherheitskonfigurationen, fehlende Web Application Firewall (WAF) und mehr).Azure Secure Score in Azure Security Center monitors the security posture of machines, networks, storage and data services, and applications to discover potential security issues (internet connected VMs, or missing security updates, missing endpoint protection or encryption, deviations from baseline security configurations, missing Web Application Firewall (WAF), and more). Sie sollten diese Funktion aktivieren (keine zusätzlichen Kosten), die Ergebnisse überprüfen und die enthaltenen Empfehlungen befolgen, um technische Behebungsmaßnahmen zu planen und auszuführen, beginnend mit den Elementen mit der höchsten Priorität.You should enable this capability (no additional cost), review the findings, and follow the included recommendations to plan and execute technical remediations starting with the highest priority items.

    Beim Beheben von Risiken können Sie den Fortschritt nachverfolgen und laufende Investitionen in Ihre Governance- und Risikominderungsprogramme priorisieren.As you address risks, track progress and prioritize ongoing investments in your governance and risk reduction programs.

    Steigern der Automatisierung mit Azure BlueprintsIncrease automation with Azure Blueprints

    Verwenden Sie die systemeigenen Automatisierungsfunktionen von Azure, um Konsistenz, Compliance und Bereitstellungsgeschwindigkeit für Workloads zu erhöhen.Use Azure’s native automation capabilities to increase consistency, compliance, and deployment speed for workloads.

    Durch die Automatisierung von Bereitstellungs- und Wartungsaufgaben werden Sicherheits- und Compliancerisiken reduziert, indem die Möglichkeit menschlicher Fehler bei manuellen Aufgaben eingeschränkt wird.Automation of deployment and maintenance tasks reduces security and compliance risk by limiting opportunity to introduce human errors during manual tasks. Dadurch können sowohl IT-Betriebsteams als auch Sicherheitsteams ihren Schwerpunkt von wiederholten manuellen Aufgaben auf höherwertige Aufgaben verlagern, wie z.B. das Ermöglichen von Entwickler- und Geschäftsinitiativen, das Schützen von Informationen usw.This will also allow both IT Operations teams and security teams to shift their focus from repeated manual tasks to higher value tasks like enabling developers and business initiatives, protecting information, and so on.

    Verwenden Sie den Azure Blueprint-Dienst, um Anwendungsumgebungen, die den Richtlinien Ihrer Organisation und externen Vorschriften entsprechen, schnell und konsistent bereitzustellen.Utilize the Azure Blueprint service to rapidly and consistently deploy application environments that are compliant with your organization’s policies and external regulations. Der Azure Blueprint-Dienst automatisiert die Bereitstellung von Umgebungen, einschließlich RBAC-Rollen, Richtlinien, Ressourcen (VM/Netzwerk/Speicher/usw.) und mehr.Azure Blueprint Service automates deployment of environments including RBAC roles, policies, resources (VM/Net/Storage/etc.), and more. Azure Blueprints basiert auf der beträchtlichen Investition von Microsoft in Azure Resource Manager, um die Ressourcenbereitstellung in Azure zu standardisieren und die Ressourcenbereitstellung und -kontrolle auf Grundlage eines gewünschten Zustands zu ermöglichen.Azure Blueprints builds on Microsoft’s significant investment into the Azure Resource Manager to standardize resource deployment in Azure and enable resource deployment and governance based on a desired-state approach. Sie können integrierte Konfigurationen in Azure Blueprint verwenden, eigene erstellen oder einfach Resource Manager-Skripts für einen kleineren Bereich verwenden.You can use built in configurations in Azure Blueprint, make your own, or just use Resource Manager scripts for smaller scope.

    Es stehen mehrere Beispiele für Blaupausen zu Sicherheit und Compliance als Startvorlagen zur Verfügung.Several Security and Compliance Blueprints samples are available to use as a starting template.

    Bewerten der Sicherheit mithilfe von BenchmarksEvaluate security using benchmarks

    Verwenden Sie einen Benchmark gemäß Branchenstandard, um den aktuellen Sicherheitsstatus Ihrer Organisation zu bewerten.Use an industry standard benchmark to evaluate your organizations current security posture.

    Mithilfe von Benchmarktests können Sie Ihr Sicherheitsprogramm verbessern, indem Sie von externen Organisationen lernen.Benchmarking allows you to improve your security program by learning from external organizations. Durch Benchmarktests erfahren Sie, wie sich Ihr aktueller Sicherheitsstatus im Vergleich zu anderen Organisationen darstellt, indem sowohl eine externe Überprüfung erfolgreicher Elemente Ihres aktuellen Systems bereitgestellt wird als auch eine Erkennung von Lücken, die als Möglichkeiten zur Erweiterung der gesamten Sicherheitsstrategie Ihres Teams dienen.Benchmarking lets you know how your current security state compares to that of other organizations, providing both external validation for successful elements of your current system as well as identifying gaps that serve as opportunities to enrich your team’s overall security strategy. Auch wenn Ihr Sicherheitsprogramm nicht an einen bestimmten Benchmark oder gesetzlichen Standard gebunden ist, profitieren Sie vom Verständnis der dokumentierten Idealzustände außerhalb und innerhalb Ihrer Branche.Even if your security program isn’t tied to a specific benchmark or regulatory standard, you will benefit from understanding the documented ideal states by those outside and inside of your industry.

    • Beispielsweise hat das Center for Internet Security (CIS) Sicherheitsbenchmarks für Azure erstellt, die dem CIS Control Framework zugeordnet sind.As an example, the Center for Internet Security (CIS) has created security benchmarks for Azure that map to the CIS Control Framework. Ein weiteres Referenzbeispiel ist das MITRE ATT&CK™-Framework, das die verschiedenen Taktiken und Techniken von Angreifern basierend auf realen Beobachtungen definiert.Another reference example is the MITRE ATT&CK™ framework that defines the various adversary tactics and techniques based on real-world observations. Diese Zuordnungen externer Referenzkontrollen helfen Ihnen, etwaige Lücken zwischen Ihrer aktuellen Strategie und der anderer Experten in der Branche zu verstehen.These external references control mappings help you to understand any gaps between your current strategy what you have and what other experts in the industry.

    Überprüfen und Erzwingen von RichtlinienkonformitätAudit and enforce policy compliance

    Stellen Sie sicher, dass das Sicherheitsteam die Umgebung überprüft, um über die Konformität mit der Sicherheitsrichtlinie Ihrer Organisation zu berichten.Ensure that the security team is auditing the environment to report on compliance with the security policy of the organization. Sicherheitsteams können die Konformität mit diesen Richtlinien auch erzwingen.Security teams may also enforce compliance with these policies.

    Organisationen aller Größen weisen Anforderungen in Hinsicht auf die Sicherheitskonformität auf.Organizations of all sizes will have security compliance requirements. Sicherheitsrichtlinien der Branche, von Behörden sowie interne Sicherheitsrichtlinien des Unternehmens müssen alle überprüft und erzwungen werden.Industry, government, and internal corporate security policies all need to be audited and enforced. Eine Richtlinienüberwachung ist wichtig, um zu prüfen, ob die anfänglichen Konfigurationen korrekt sind und deren Konformität im zeitlichen Verlauf gewahrt bleibt.Policy monitoring is critical to check that initial configurations are correct and that it continues to be compliant over time.

    In Azure können Sie Azure Policy verwenden, um Richtlinien zu erstellen und zu verwalten, die Konformität erzwingen.In Azure, you can take advantage of Azure Policy to create and manage policies that enforce compliance. Wie Azure Blueprints basiert auch Azure Policy auf den zugrunde liegenden Azure Resource Manager-Funktionen der Azure-Plattform (und Azure Policy kann auch über Azure Blueprints zugewiesen werden).Like Azure Blueprints, Azure Policies are built on the underlying Azure Resource Manager capabilities in the Azure platform (and Azure Policy can also be assigned via Azure Blueprints).

    Weitere Informationen zur Vorgehensweise in Azure finden Sie im Tutorial: Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung.For more information on how to do this in Azure, please review Tutorial: Create and manage policies to enforce compliance.

    Überwachen des IdentitätsrisikosMonitor identity Risk

    Überwachen Sie identitätsbezogene Risikoereignisse auf Warnungen zu potenziell gefährdeten Identitäten, und beheben Sie diese Risiken.Monitor identity related risk events for warning on potentially compromised identities and remediate those risks.

    Die meisten Sicherheitsincidents finden statt, nachdem ein Angreifer zunächst mit einer gestohlenen Identität Zugriff erhalten hat.Most security incidents take place after an attacker initially gains access using a stolen identity. Diese Identitäten können anfänglich oft niedrige Berechtigungen aufweisen, doch verwenden die Angreifer die Identität dann, um Zugriff auf Identitäten mit höheren Berechtigungen zu erhalten.These identities can often start with low privileges, but the attackers then use that identity to traverse laterally and gain access to more privileged identities. Dies wird so lange wiederholt, bis der Angreifer den Zugriff auf die letztendlichen Zieldaten oder -systeme kontroliert.This repeats as needed until the attacker controls access to the ultimate target data or systems.

    Azure Active Directory verwendet adaptive Machine Learning-Algorithmen, Heuristiken und bekannte kompromittierte Anmeldeinformationen (Kombinationen aus Benutzername/Kennwort), um verdächtige Aktivitäten im Zusammenhang mit Ihren Benutzerkonten zu erkennen.Azure Active Directory uses adaptive machine learning algorithms, heuristics, and known compromised credentials (username/password pairs) to detect suspicious actions that are related to your user accounts. Diese Kombinationen aus Benutzername/Kennwort stammen aus der Überwachung von öffentlichen und Dark Web-Websites (wo Angreifer oft kompromittierte Kennwörter ablegen) und der Zusammenarbeit mit Sicherheitsexperten, Strafverfolgungsbehörden, Sicherheitsteams bei Microsoft und anderen.These username/password pairs come from monitoring public and dark web sites (where attackers often dump compromised passwords) and by working with security researchers, law enforcement, Security teams at Microsoft, and others.

    Es gibt zwei Bereiche, in denen Sie gemeldete Risikoereignisse überprüfen:There are two places where you review reported risk events:

    Darüber hinaus können Sie die  API für Identity Protection-Risikoereignisse verwenden, um programmgesteuerten Zugriff auf Sicherheitserkennungen über Microsoft Graph zu erhalten.In addition, you can use the Identity Protection risk events API to gain programmatic access to security detections using Microsoft Graph.

    Beheben Sie diese Risiken, indem Sie jedes gemeldete Konto manuell behandeln oder indem Sie eine Richtlinie zum Benutzerrisiko einrichten, um eine Kennwortänderung für diese Ereignisse mit hohem Risiko anzufordern.Remediate these risks by manually addressing each reported account or by setting up a user risk policy to require a password change for these high risk events.

    PenetrationstestsPenetration testing

    Verwenden Sie Penetrationstests zum Überprüfen von Abwehrmaßnahmen.Use Penetration Testing to validate security defenses.

    Eine reale Überprüfung von Abwehrmaßnahmen ist wichtig, um Ihre Verteidigungsstrategie und -implementierung zu überprüfen.Real world validation of security defenses is critical to validate your defense strategy and implementation. Dies kann durch einen Penetrationstest (simuliert einen einmaligen Angriff) oder ein Red Team-Programm (simuliert einen permanenten Angreifer, der Ihre Umgebung zum Ziel hat) erreicht werden.This can be accomplished by a penetration test (simulates a one time attack) or a red team program (simulates a persistent threat actor targeting your environment).

    Folgen Sie dem von Microsoft veröffentlichten Leitfaden für die Planung und Ausführung simulierter Angriffe.Follow the guidance published by Microsoft for planning and executing simulated attacks.

    Ermitteln und Ersetzen unsicherer ProtokolleDiscover & replace insecure protocols

    Ermitteln und deaktivieren Sie die Verwendung von unsicheren Legacyprotokollen wie SMBv1, LM/NTLMv1, WDigest, nicht signierte LDAP-Bindungen und schwache Chiffren in Kerberos.Discover and disable the use of legacy insecure protocols SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds, and Weak ciphers in Kerberos.

    Authentifizierungsprotokolle bilden eine wichtige Grundlage für fast alle Sicherheitsgewährleistungen.Authentication protocols are a critical foundation of nearly all security assurances. Diese älteren Versionen können von Angreifern mit Zugriff auf Ihr Netzwerk genutzt werden und finden häufig auf Legacysystemen in IaaS (Infrastructure-as-a-Service) in großem Umfang Verwendung.These older versions can be exploited by attackers with access to your network and are often used extensively on legacy systems on Infrastructure as a Service (IaaS).

    Sie haben folgende Möglichkeiten, um das Risiko zu verringern:Here are ways to reduce your risk:

    • Ermitteln der Protokollnutzung durch Überprüfen von Protokollen mit dem Dashboard für unsichere Protokolle in Azure Sentinel oder mit Tools von DrittanbieternDiscover protocol usage by reviewing logs with Azure Sentinel’s Insecure Protocol Dashboard or third party tools

    • Einschränken oder Deaktivieren der Verwendung dieser Protokolle anhand der Anweisungen für SMB, NTLM, WDigestRestrict or Disable use of these protocols by following guidance for SMB, NTLM, WDigest

    Es wird empfohlen, Änderungen mithilfe der Pilot- oder einer anderen Testmethode zu implementieren, um das Risiko einer Betriebsunterbrechung zu verringern.We recommend implementing changes using pilot or other testing method to mitigate risk of operational interruption.

    Erhöhte SicherheitsfunktionenElevated security capabilities

    Ziehen Sie die Verwendung spezieller Sicherheitsfunktionen in ihrer Unternehmensarchitektur in Betracht.Consider whether to utilize specialized security capabilities in your enterprise architecture.

    Diese Maßnahmen bieten die Möglichkeit, die Sicherheit zu erhöhen und gesetzliche Anforderungen zu erfüllen, können aber auch zu Komplexität führen, die sich negativ auf Vorgänge und Effizienz auswirkt.These measures have the potential to enhance security and meet regulatory requirements, but can introduce complexity that may negatively impact your operations and efficiency.

    Es wird empfohlen, diese Sicherheitsmaßnahmen sorgfältig abzuwägen und gegebenenfalls sinnvoll einzusetzen:We recommend careful consideration and judicious use of these security measures as required: