Sicherheitsgovernance und Compliance auf UnternehmensebeneEnterprise-scale security, governance, and compliance

Dieser Artikel befasst sich mit der Definition der Begriffe Verschlüsselung, Schlüsselverwaltung, Sicherheitsüberwachung und Auditrichtlinie und mit der Planung der Governance und der Plattformsicherheit.This article covers defining encryption and key management, planning for governance, defining security monitoring and an audit policy, and planning for platform security. Am Ende des Artikels finden Sie eine Tabelle, in der ein Rahmenwerk beschrieben wird, um die Sicherheitsbereitschaft von Azure-Diensten in Unternehmen zu bewerten.At the end of the article, you can refer to a table that describes a framework to assess enterprise security readiness of Azure services.

Definieren von Verschlüsselung und SchlüsselverwaltungDefine encryption and key management

Die Verschlüsselung ist ein wichtiger Schritt zur Gewährleistung von Datenschutz, Compliance und Data Residency in Microsoft Azure.Encryption is a vital step toward ensuring data privacy, compliance, and data residency in Microsoft Azure. Sie ist auch bei vielen Unternehmen einer der wichtigsten Sicherheitsaspekte.It's also one of the most important security concerns of many enterprises. In diesem Abschnitt werden Entwurfsaspekte und -empfehlungen in Bezug auf Verschlüsselung und Schlüsselverwaltung behandelt.This section covers design considerations and recommendations as they pertain to encryption and key management.

Überlegungen zum Entwurf:Design considerations:

  • Für Azure Key Vault geltende Abonnement- und Skalierungsgrenzwerte: Key Vault weist Transaktionsgrenzwerte für Schlüssel und Geheimnisse auf.Subscription and scale limits as they apply to Azure Key Vault: Key Vault has transaction limits for keys and secrets. Informationen zum Drosseln von Transaktionen pro Tresor in einem bestimmten Zeitraum finden Sie unter Azure-Grenzwerte.To throttle transactions per vault in a certain period, see Azure limits.

  • Key Vault dient als Sicherheitsgrenze, da Zugriffsberechtigungen für Schlüssel, Geheimnisse und Zertifikate auf Tresorebene gelten.Key Vault serves a security boundary because access permissions for keys, secrets, and certificates are at the vault level. Mit Zuweisungen von Schlüsseltresor-Zugriffsrichtlinien können separate Berechtigungen für Schlüssel, Geheimnisse oder Zertifikate gewährt werden.Key Vault access policy assignments grant permissions separately to keys, secrets, or certificates. Sie unterstützen keine differenzierten Berechtigungen auf Objektebene, wie z. B. für bestimmte Schlüssel, Geheimnisse oder die Schlüsselverwaltung für Zertifikate.They don't support granular, object-level permissions like a specific key, secret, or certificate key management.

  • Sie können je nach Bedarf anwendungs- und workloadspezifische Geheimnisse und gemeinsam genutzte Schlüssel isolieren (Zugriffssteuerung).You can isolate application-specific and workload-specific secrets and shared secrets, as appropriate control access.

  • Sie können Premium-SKUs optimieren, für die durch Hardwaresicherheitsmodule geschützte Schlüssel erforderlich sind.You can optimize Premium SKUs where hardware-security-module-protected keys are required. Die zugrunde liegenden Hardwaresicherheitsmodule (HSMs) sind konform mit FIPS 140-2 Level 2.Underlying hardware security modules (HSMs) are FIPS 140-2 Level 2 compliant. Verwalten Sie ein dediziertes Azure-HSM für die Konformität mit FIPS 140-2 Level 3 unter Berücksichtigung der unterstützten Szenarios.Manage Azure dedicated HSM for FIPS 140-2 Level 3 compliance by considering the supported scenarios.

  • Schlüsselrotation und Ablauf von Geheimnissen.Key rotation and secret expiration.

    • Zertifikatbeschaffung und -signierung mit Key Vault-ZertifikatenCertificate procurement and signing by using Key Vault about certificates.
    • Warnungen/Benachrichtigungen und automatisierte ZertifikatverlängerungenAlerting/notifications and automated certificate renewals.
  • Anforderungen an die Notfallwiederherstellung für Schlüssel, Zertifikate und Geheimnisse.Disaster recovery requirements for keys, certificates, and secrets.

    Replikations- und Failoverfunktionen für den Key Vault-Dienst: Verfügbarkeit und RedundanzKey Vault service replication and failover capabilities: availability and redundancy.

  • Überwachen der Nutzung von Schlüsseln, Zertifikaten und Geheimnissen.Monitoring key, certificate, and secret usage.

    Erkennen von nicht autorisiertem Zugriff mithilfe eines Schlüsseltresors oder Log Analytics-Arbeitsbereichs von Azure Monitor: Überwachung und WarnungDetecting unauthorized access by using a key vault or Azure Monitor Log Analytics workspace: monitoring and alerting.

  • Delegierte Key Vault-Instanziierung und privilegierter Zugriff: sicherer ZugriffDelegated Key Vault instantiation and privileged access: secure access.

  • Anforderungen für die Nutzung benutzerdefinierter Schlüssel für native Verschlüsselungsmechanismen wie die Azure Storage-Verschlüsselung:Requirements for using customer-managed keys for native encryption mechanisms such as Azure Storage encryption:

    • Kundenseitig verwaltete Schlüssel.Customer-managed keys.
    • Vollständige Datenträgerverschlüsselung für virtuelle Computer (VMs).Whole-disk encryption for virtual machines (VMs).
    • Verschlüsselung von Daten während der Übertragung.Data-in-transit encryption.
    • Verschlüsselung ruhender Daten.Data-at-rest encryption.

Entwurfsempfehlungen:Design recommendations:

  • Nutzen Sie ein Azure Key Vault-Verbundmodell, um Beschränkungen des Transaktionsumfangs zu vermeiden.Use a federated Azure Key Vault model to avoid transaction scale limits.

  • Stellen Sie Azure Key Vault mit Richtlinien für vorläufiges und endgültiges Löschen bereit, damit Aufbewahrungsschutz für gelöschte Objekte aktiviert werden kann.Provision Azure Key Vault with the soft delete and purge policies enabled to allow retention protection for deleted objects.

  • Befolgen Sie das Modell der geringsten Berechtigung, indem Sie die Autorisierung zum permanenten Löschen von Schlüsseln, Geheimnissen und Zertifikaten auf spezielle benutzerdefinierte Azure Active Directory-Rollen (Azure AD) beschränken.Follow a least privilege model by limiting authorization to permanently delete keys, secrets, and certificates to specialized custom Azure Active Directory (Azure AD) roles.

  • Automatisieren Sie den Prozess zur Verwaltung und Verlängerung von Zertifikaten mit öffentlichen Zertifizierungsstellen, um die Verwaltung zu erleichtern.Automate the certificate management and renewal process with public certificate authorities to ease administration.

  • Führen Sie einen automatisierten Prozess für die Rotation von Schlüsseln und Zertifikaten ein.Establish an automated process for key and certificate rotation.

  • Aktivieren Sie den Dienstendpunkt für die Firewall und das virtuelle Netzwerk im Tresor für den Zugriff auf den Schlüsseltresor.Enable firewall and virtual network service endpoint on the vault to control access to the key vault.

  • Verwenden Sie den für die Plattform zentralen Log Analytics-Arbeitsbereich von Azure Monitor, um die Verwendung von Schlüsseln, Zertifikaten und Geheimnissen innerhalb jeder Key Vault-Instanz zu überwachen.Use the platform-central Azure Monitor Log Analytics workspace to audit key, certificate, and secret usage within each instance of Key Vault.

  • Delegieren Sie die Instanziierung von Key Vault und den privilegierten Zugriff, und erzwingen Sie mithilfe von Azure Policy eine einheitliche, konforme Konfiguration.Delegate Key Vault instantiation and privileged access and use Azure Policy to enforce a consistent compliant configuration.

  • Greifen Sie bei Bedarf standardmäßig auf von Microsoft verwaltete Schlüssel für die grundlegende Verschlüsselungsfunktionalität zurück, und nutzen Sie bei Bedarf vom Kunden verwaltete Schlüssel.Default to Microsoft-managed keys for principal encryption functionality and use customer-managed keys when required.

  • Verwenden Sie keine zentralisierten Key Vault-Instanzen für Anwendungsschlüssel oder -geheimnisse.Don't use centralized instances of Key Vault for application keys or secrets.

  • Geben Sie keine Key Vault-Instanzen zwischen Anwendungen frei, um die gemeinsame Nutzung von Geheimnissen in verschiedenen Umgebungen zu vermeiden.Don't share Key Vault instances between applications to avoid secret sharing across environments.

Planen der GovernancePlan for governance

Governance stellt Mechanismen und Prozesse zum Beibehalten der Kontrolle über Ihre Anwendungen und Ressourcen in Azure bereit.Governance provides mechanisms and processes to maintain control over your applications and resources in Azure. Azure Policy ist für die Gewährleistung von Sicherheit und Compliance innerhalb der IT-Umgebung von Unternehmen unerlässlich.Azure Policy is essential to ensuring security and compliance within enterprise technical estates. Der Dienst kann wichtige Verwaltungs- und Sicherheitskonventionen für alle Dienste auf der Azure-Plattform erzwingen und die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) ergänzen, die regelt, welche Aktionen autorisierte Benutzer ausführen dürfen.It can enforce vital management and security conventions across Azure platform services and supplement Azure role-based access control (Azure RBAC) that controls what actions authorized users can perform.

Überlegungen zum Entwurf:Design considerations:

  • Bestimmen Sie, welche Azure-Richtlinien erforderlich sind.Determine what Azure policies are needed.

  • Erzwingung von Verwaltungs- und Sicherheitskonventionen, wie z. B. die Nutzung privater EndpunkteEnforce management and security conventions, such as the use of private endpoints.

  • Verwalten und erstellen Sie Richtlinienzuweisungen mithilfe von Richtliniendefinitionen, die in mehreren vererbten Zuweisungsbereichen wiederverwendet werden können.Manage and create policy assignments by using policy definitions can be reused at multiple inherited assignment scopes. Auf Verwaltungsgruppen-, Abonnement- und Ressourcengruppenebene können Sie zentralisierte, grundlegende Richtlinienzuweisungen durchführen.You can have centralized, baseline policy assignments at management group, subscription, and resource group scopes.

  • Gewährleisten Sie die kontinuierliche Compliance mit Complianceberichten und -auditing.Ensure continuous compliance with compliance reporting and auditing.

  • Machen Sie sich mit den Grenzen von Azure Policy vertraut, wie z. B. die Beschränkung von Definitionen auf einen beliebigen Umfang: Richtliniengrenzen.Understand that Azure Policy has limits, such as the restriction of definitions at any particular scope: policy limits.

  • Informieren Sie sich über gesetzliche Compliancerichtlinien.Understand regulatory compliance policies. Dazu können HIPAA-, PCI-DSS- oder SOC 2 Trust Service Principles-Bestimmungen gehören.These might include HIPAA, PCI-DSS, or SOC 2 trust service principles.

Entwurfsempfehlungen:Design recommendations:

  • Bestimmen Sie erforderliche Azure-Tags, und nutzen Sie den Modus zum Anfügen von Richtlinien, um die Nutzung zu erzwingen.Identify required Azure tags and use the append policy mode to enforce usage.

  • Ordnen Sie gesetzliche Vorschriften und Complianceanforderungen Azure Policy-Definitionen und Azure-Rollenzuweisungen zu.Map regulatory and compliance requirements to Azure Policy definitions and Azure role assignments.

  • Legen Sie Azure Policy-Definitionen in der obersten Stammverwaltungsgruppe fest, damit sie in vererbten Bereichen zugewiesen werden können.Establish Azure Policy definitions at the top-level root management group so that they can be assigned at inherited scopes.

  • Verwalten Sie Zuweisungen von Richtlinien auf der höchsten geeigneten Ebene mit Ausschlüssen auf unteren Ebenen, sofern erforderlich.Manage policy assignments at the highest appropriate level with exclusions at bottom levels, if required.

  • Nutzen Sie Azure Policy zum Steuern von Registrierungen von Ressourcenanbietern auf Abonnement- und/oder Verwaltungsgruppenebene.Use Azure Policy to control resource provider registrations at the subscription and/or management group levels.

  • Nutzen Sie nach Möglichkeit integrierte Richtlinien, um den betrieblichen Aufwand zu minimieren.Use built-in policies where possible to minimize operational overhead.

  • Weisen Sie die in Policy integrierte Rolle „Mitwirkender“ einem bestimmten Bereich zu, um Governance auf Anwendungsebene zu ermöglichen.Assign the built-in Policy Contributor role at a particular scope to enable application-level governance.

  • Beschränken Sie die Anzahl der Azure Policy-Zuweisungen, die im Bereich der Stammverwaltungsgruppe vorgenommen werden, um eine Verwaltung durch Ausschlüsse in vererbten Bereichen zu vermeiden.Limit the number of Azure Policy assignments made at the root management group scope to avoid managing through exclusions at inherited scopes.

Definieren der Sicherheitsüberwachung und einer ÜberwachungsrichtlinieDefine security monitoring and an audit policy

Unternehmen benötigen Einblicke in die Vorgänge innerhalb ihres Cloudbestands.An enterprise must have visibility into what's happening within their technical cloud estate. Die Sicherheitsüberwachung und Überwachungsprotokollierung der Dienste auf der Azure-Plattform ist eine wesentliche Komponente eines skalierbaren Frameworks.Security monitoring and audit logging of Azure platform services is a key component of a scalable framework.

Überlegungen zum Entwurf:Design considerations:

  • Datenaufbewahrungsdauer für Auditdaten:Data retention periods for audit data. Azure AD Premium-Berichte werden 30 Tage lang aufbewahrt.Azure AD Premium reports have a 30-day retention period.

  • Langfristige Archivierung von Protokollen wie Azure-Aktivitätsprotokollen, VM- und PaaS-Protokollen (Platform-as-a-Service)Long-term archiving of logs such as Azure activity logs, VM logs, and platform as a service (PaaS) logs.

  • Grundlegende Sicherheitskonfiguration über eine Azure-Gast-VM-RichtlinieBaseline security configuration via Azure in-guest VM policy.

  • Notfallpatches für kritische SicherheitsrisikenEmergency patching for critical vulnerabilities.

  • Patches für VMs, die über längere Zeiträume offline sindPatching for VMs that are offline for extended periods of time.

  • Anforderungen für Echtzeitüberwachung und WarnungenRequirements for real-time monitoring and alerting.

  • Integrieren von SIEM-Lösung (Security Information and Event Management) in Azure Security Center und Azure SentinelSecurity information and event management integration with Azure Security Center and Azure Sentinel.

  • Beurteilung des Sicherheitsrisikos von VMsVulnerability assessment of VMs.

Entwurfsempfehlungen:Design recommendations:

  • Nutzen Sie Azure AD-Berichtsfunktionen zum Generieren von Überwachungsberichten zur Zugriffssteuerung.Use Azure AD reporting capabilities to generate access control audit reports.

  • Exportieren Sie Azure-Aktivitätsprotokolle für die langfristige Datenaufbewahrung nach Azure Monitor Logs.Export Azure activity logs to Azure Monitor Logs for long-term data retention. Exportieren Sie sie in Azure Storage, falls eine langfristige Aufbewahrung von über zwei Jahren erforderlich ist.Export to Azure Storage for long-term storage beyond two years, if necessary.

  • Aktivieren Sie Security Center Standard für alle Abonnements, und verwenden Sie Azure Policy, um die Compliance sicherzustellen.Enable Security Center Standard for all subscriptions, and use Azure Policy to ensure compliance.

  • Überwachen Sie Abweichungen bei Patches des Basisbetriebssystems mit Azure Monitor Logs und Azure Security Center.Monitor base operating system patching drift via Azure Monitor Logs and Azure Security Center.

  • Nutzen Sie Azure-Richtlinien zur automatischen Bereitstellung von Softwarekonfigurationen mithilfe von VM-Erweiterungen und zur Erzwingung einer konformen VM-Basiskonfiguration.Use Azure policies to automatically deploy software configurations through VM extensions and enforce a compliant baseline VM configuration.

  • Überwachen Sie Abweichungen bei der VM-Sicherheitskonfiguration mittels Azure Policy.Monitor VM security configuration drift via Azure Policy.

  • Verbinden Sie Standardressourcenkonfigurationen mit einem zentralen Log Analytics-Arbeitsbereich von Azure Monitor.Connect default resource configurations to a centralized Azure Monitor Log Analytics workspace.

  • Verwenden Sie eine Azure Event Grid-basierte Lösung für protokollorientierte Echtzeitwarnungen.Use an Azure Event Grid-based solution for log-oriented, real-time alerting.

Planen der PlattformsicherheitPlan for platform security

Sie müssen einen stabile Sicherheitsstatus aufrechterhalten, wenn Sie Azure einführen.You must maintain a healthy security posture as you adopt Azure. Neben Sichtbarkeit müssen Sie in der Lage sein, die anfänglichen Einstellungen und Änderungen zu bestimmen, während sich die Azure-Dienste weiterentwickeln.Besides visibility, you have to be able to control the initial settings and changes as the Azure services evolve. Daher ist die Planung der Plattformsicherheit von großer Bedeutung.Therefore, planning for platform security is key.

Überlegungen zum Entwurf:Design considerations:

  • Geteilte VerantwortungShared responsibility.

  • Hochverfügbarkeit und NotfallwiederherstellungHigh availability and disaster recovery.

  • Einheitliche Sicherheit in allen Azure-Diensten in Bezug auf Datenverwaltungs- und SteuerungsebenenvorgängeConsistent security across Azure services in terms of data management and control plane operations.

  • Mehrinstanzenfähigkeit für wichtige PlattformkomponentenMultitenancy for key platform components. (Hyper-V, die Key Vault zugrunde liegenden HSMs sowie Datenbank-Engines)This includes Hyper-V, the HSMs underpinning Key Vault, and database engines.

Entwurfsempfehlungen:Design recommendations:

  • Führen Sie im Kontext ihrer zugrunde liegenden Anforderungen eine gemeinsame Untersuchung der erforderlichen Dienste durch.In the context of your underlying requirements, conduct a joint examination of each required service. Wenn Sie Ihre eigenen Schlüssel einsetzen möchte, wird dies möglicherweise nicht von allen in Frage kommenden Diensten unterstützt.If you want to bring your own keys, this might not be supported across all considered services. Implementieren Sie eine geeignete Risikominderung, damit Inkonsistenzen die gewünschten Ergebnisse nicht beeinträchtigen.Implement relevant mitigation so that inconsistencies don't hinder desired outcomes. Wählen Sie geeignete Regionspaare und Regionen für die Notfallwiederherstellung, die Latenz minimieren.Choose appropriate region pairs and disaster recovery regions that minimize latency.

  • Entwickeln Sie einen Plan zum Erstellen einer Zulassungsliste für die Sicherheit, um die Sicherheitskonfiguration, Überwachung und Warnungen von Diensten sowie deren Integration in bestehende Systeme zu beurteilen.Develop a security allow-list plan to assess services security configuration, monitoring, alerts, and how to integrate these with existing systems.

  • Legen Sie einen Plan zur Reaktion auf Vorfälle fest, bevor Sie Azure-Dienste für die Produktion zulassen.Determine the incident response plan for Azure services before allowing it into production.

  • Nutzen Sie Azure AD-Berichtsfunktionen zum Generieren von Überwachungsberichten zur Zugriffssteuerung.Use Azure AD reporting capabilities to generate access control audit reports.

  • Stimmen Sie Ihre Sicherheitsanforderungen mit Roadmaps für die Azure-Plattform ab, damit immer die neu veröffentlichten Sicherheitskontrollen verwendet werden.Align your security requirements with Azure platform roadmaps to stay current with newly released security controls.

  • Setzen Sie ggf. einen Zero-Trust-Ansatz für den Zugriff auf die Azure-Plattform um.Implement a zero-trust approach for access to the Azure platform, where appropriate.

Vergleichstest für die Azure-SicherheitAzure Security Benchmark

Der Azure Security-Vergleichstest enthält eine Sammlung von wirkungsvollen Sicherheitsempfehlungen, mit denen Sie den Großteil der von Ihnen in Azure genutzten Dienste sichern können.The Azure Security Benchmark includes a collection of high-impact security recommendations you can use to help secure most of the services you use in Azure. Sie können diese Empfehlungen als „allgemein“ oder „organisatorisch“ betrachten, da sie auf die meisten Azure-Dienste anwendbar sind.You can think of these recommendations as "general" or "organizational" as they are applicable to most Azure services. Die Empfehlungen des Azure Security-Vergleichstest werden anschließend für jeden Azure-Service angepasst. Diese individuelle Anleitung ist dann in den Artikeln über die Dienstempfehlungen enthalten.The Azure Security Benchmark recommendations are then customized for each Azure service, and this customized guidance is contained in service recommendations articles.

In der Dokumentation zum Azure Security-Vergleichstest werden Sicherheitskontrollen und Dienstempfehlungen angegeben.The Azure Security Benchmark documentation specifies security controls and service recommendations.

  • Sicherheitskontrollelemente: Die Empfehlungen des Azure Security-Vergleichstests werden nach Sicherheitskontrollelementen kategorisiert.Security controls: The Azure Security Benchmark recommendations are categorized by security controls. Sicherheitskontrollelemente stellen von Anbietern unabhängige allgemeine Sicherheitsanforderungen dar, wie z. B. Netzwerksicherheit und Datenschutz.Security controls represent high-level vendor-agnostic security requirements, such as network security and data protection. Jedes Sicherheitskontrollelement enthält eine Reihe von Sicherheitsempfehlungen und Anweisungen, mit denen Sie diese Empfehlungen implementieren können.Each security control has a set of security recommendations and instructions that help you implement those recommendations.
  • Dienstempfehlungen: Wenn verfügbar, enthalten die Empfehlungen des Vergleichstests für Azure-Dienste auch Empfehlungen des Azure Security-Vergleichstests, die speziell auf diesen Dienst zugeschnitten sind.Service recommendations: When available, benchmark recommendations for Azure services will include Azure Security Benchmark recommendations that are tailored specifically for that service.

DienstaktivierungsframeworkService enablement framework

Wenn Geschäftsbereiche die Bereitstellung von Workloads in Azure anfordern, ist ein zusätzlicher Einblick in eine Workload erforderlich, um zu bestimmen, wie ein angemessenes Maß an Governance, Sicherheit und Compliance erreicht werden kann.As business units request to deploy workloads to Azure, you need additional visibility into a workload to determine how to achieve appropriate levels of governance, security, and compliance. Wenn ein neuer Dienst erforderlich ist, müssen Sie diesen genehmigen.When a new service is required, you need to allow it. Die folgende Tabelle bietet ein Framework zur Beurteilung der Sicherheitsbereitschaft von Azure-Diensten in Unternehmen:The following table provides a framework to assess enterprise security readiness of Azure services:

BewertungAssessment KategorieCategory KriterienCriteria
SicherheitSecurity NetzwerkendpunktNetwork endpoint Verfügt der Dienst über einen öffentlichen Endpunkt, der außerhalb eines virtuellen Netzwerks zugänglich ist?Does the service have a public endpoint that is accessible outside of a virtual network?
Werden Endpunkte virtueller Netzwerkdienste unterstützt?Does it support virtual network service endpoints?
Können Azure-Dienste direkt mit dem Dienstendpunkt interagieren?Can Azure services interact directly with the service endpoint?
Werden Azure Private Link-Endpunkte unterstützt?Does it support Azure Private Link endpoints?
Ist eine Bereitstellung in einem virtuellen Netzwerk möglich?Can it be deployed within a virtual network?
Verhinderung der DatenexfiltrationData exfiltration prevention Verfügt der PaaS-Dienst im Azure ExpressRoute-Microsoft-Peering über eine separate BGP-Community (Border Gateway Protocol)?Does the PaaS service have a separate Border Gateway Protocol (BGP) community in Azure ExpressRoute Microsoft peering? Macht ExpressRoute einen Routenfilter für den Dienst verfügbar?Does ExpressRoute expose a route filter for the service?
Werden vom Dienst Private Link-Endpunkte unterstützt?Does the service support Private Link endpoints?
Netzwerkdatenverkehr für Verwaltungs- und Datenebenenvorgänge erzwingenEnforce network traffic flow for management and data plane operations Ist es möglich, den in den Dienst ein- und ausgehenden Datenverkehr zu inspizieren?Is it possible to inspect traffic entering/exiting the service? Kann mit benutzerdefiniertem Routing ein Tunnel für Datenverkehr erzwungen werden?Can traffic be force-tunnelled with user-defined routing?
Nutzen Verwaltungsvorgänge von Azure gemeinsam genutzte öffentliche IP-Adressbereiche?Do management operations use Azure shared public IP ranges?
Wird der Verwaltungsdatenverkehr über einen Link-Local-Endpunkt auf dem Host verfügbar gemacht?Is management traffic directed via a link-local endpoint exposed on the host?
Verschlüsselung ruhender DatenData encryption at-rest Wird Verschlüsselung standardmäßig angewendet?Is encryption applied by default?
Kann Verschlüsselung deaktiviert werden?Can encryption be disabled?
Erfolgt Verschlüsselung mit von Microsoft verwalteten oder vom Kunden verwalteten Schlüsseln?Is encryption performed with Microsoft-managed keys or customer-managed keys?
Datenverschlüsselung während der ÜbertragungData encryption in-transit Wird Datenverkehr an den Dienst auf Protokollebene verschlüsselt (SSL/TLS)?Is traffic to the service encrypted at a protocol level (SSL/TLS)?
Gibt es HTTP-Endpunkte, und können diese deaktiviert werden?Are there any HTTP endpoints, and can they be disabled?
Ist die zugrunde liegende Dienstkommunikation ebenfalls verschlüsselt?Is underlying service communication also encrypted?
Erfolgt Verschlüsselung mit von Microsoft verwalteten oder vom Kunden verwalteten Schlüsseln?Is encryption performed with Microsoft-managed keys or customer-managed keys? (Wird BYOK-Verschlüsselung [Bring Your Own Key] unterstützt?)(Is bring your own encryption supported?)
SoftwarebereitstellungSoftware deployment Können Anwendungssoftware oder Produkte von Drittanbietern im Dienst bereitgestellt werden?Can application software or third-party products be deployed to the service?
Wie wird die Bereitstellung von Software durchgeführt und verwaltet?How is software deployment performed and managed?
Können Richtlinien zur Steuerung des Quellcodes oder der Codeintegrität erzwungen werden?Can policies be enforced to control source or code integrity?
Wenn Software bereitstellbar ist, können dann Antischadsoftware-Funktionen, die Verwaltung von Sicherheitsrisiken und Tools zur Überwachung der Sicherheit eingesetzt werden?If software is deployable, can antimalware capability, vulnerability management, and security monitoring tools be used?
Bietet der Dienst diese Funktionen nativ (z. B. über Azure Kubernetes Service)?Does the service provide such capabilities natively, such as with Azure Kubernetes Service?
Identitäts- und ZugriffsverwaltungIdentity and access management Authentifizierung und ZugriffssteuerungAuthentication and access control Werden alle Vorgänge auf Steuerungsebene von Azure AD gesteuert?Are all control plane operations governed by Azure AD? Gibt es eine geschachtelte Steuerungsebene wie bei Azure Kubernetes Service?Is there a nested control plane, such as with Azure Kubernetes Service?
Welche Methoden sind für den Zugriff auf die Datenebene vorhanden?What methods exist to provide access to the data plane?
Kann die Datenebene in Azure AD integriert werden?Does the data plane integrate with Azure AD?
Werden von der Authentifizierung zwischen Azure-Diensten verwaltete Identitäten oder Dienstprinzipale verwendet?Does authentication bwtween Azure services use managed identities or service principals?
Erfolgt die Authentifizierung zwischen Azure und IaaS (vom Dienst zum virtuellen Netzwerk) über Azure AD?Is Azure-to-IaaS (service-to-virtual-network) authentication via Azure AD?
Wie werden anwendbare Schlüssel oder Shared Access Signatures verwaltet?How are any applicable keys or shared access signatures managed?
Wie kann der Zugriff widerrufen werden?How can access be revoked?
AufgabentrennungSegregation of duties Trennt der Dienst innerhalb von Azure AD Vorgänge auf Steuerungs- und Datenebene?Does the service separate control plane and data plane operations within Azure AD?
Mehrstufige Authentifizierung und bedingter ZugriffMulti-factor authentication and conditional access Wird für Interaktionen zwischen Benutzern und Diensten eine mehrstufige Authentifizierung erzwungen?Is multi-factor authentication enforced for user to service interactions?
GovernanceGovernance Export und Import von DatenData export and import Erlaubt der Dienst, Daten sicher und verschlüsselt zu importieren und zu exportieren?Does service allow you to import and export data securely and encrypted?
Datenschutz und -nutzungData privacy and usage Können Microsoft-Techniker auf die Daten zugreifen?Can Microsoft engineers access the data?
Wird jede Interaktion des Microsoft-Supports mit dem Dienst überwacht?Is any Microsoft Support interaction with the service audited?
DatenresidenzData residency Sind Daten auf die Region der Dienstbereitstellung beschränkt?Is data contained to the service deployment region?
Operationen (Operations)Operations ÜberwachungMonitoring Ist der Dienst in Azure Monitor integriert?Does the service integrate with Azure Monitor?
SicherungsverwaltungBackup management Welche Workloaddaten müssen gesichert werden?Which workload data need to be backed up?
Wie werden Sicherungen aufgezeichnet?How are backups captured?
Wie oft können Sicherungen durchgeführt werden?How frequently can backups be taken?
Wie lange können Sicherungen aufbewahrt werden?How long can backups be retained for?
Werden Sicherungen verschlüsselt?Are backups encrypted?
Erfolgt die Sicherungsverschlüsselung mit von Microsoft verwalteten oder kundenseitig verwalteten Schlüsseln?Is backup encryption performed with Microsoft-managed keys or customer-managed keys?
NotfallwiederherstellungDisaster recovery Wie kann der Dienst regional redundant genutzt werden?How can the service be used in a regional redundant fashion?
Wie lauten das erreichbare Recovery Time Objective und Recovery Point Objective?What is the attainable recovery time objective and recovery point objective?
SKUSKU Welche SKUs sind verfügbar?What SKUs are available? Wie unterscheiden sie sich?And how do they differ?
Gibt es Features im Zusammenhang mit der Sicherheit für Premium-SKU?Are there any features related to security for Premium SKU?
KapazitätsverwaltungCapacity management Wie wird Kapazität überwacht?How is capacity monitored?
Was ist die Einheit für horizontale Skalierung?What is the unit of horizontal scale?
Patch- und UpdateverwaltungPatch and update management Muss der Dienst manuell aktualisiert werden, oder erfolgen Updates automatisch?Does the service require active updating or do updates happen automatically?
Wie häufig werden Updates angewendet?How frequently are updates applied? Können sie automatisiert werden?Can they be automated?
AuditAudit Werden Vorgänge in der geschachtelten Steuerungsebene erfasst (z. B. in Azure Kubernetes Service oder Azure Databricks)?Are nested control plane operations captured (for example, Azure Kubernetes Service or Azure Databricks)?
Werden wichtige Aktivitäten auf Datenebene aufgezeichnet?Are key data plane activities recorded?
KonfigurationsverwaltungConfiguration management Werden Tags unterstützt und ein put-Schema für alle Ressourcen bereitgestellt?Does it support tags and provide a put schema for all resources?
Compliance von Azure-DienstenAzure service compliance Dienstnachweis, Zertifizierung und externe ÜberprüfungenService attestation, certification, and external audits Ist der Dienst mit PCI/ISO/SOC konform?Is the service PCI/ISO/SOC compliant?
DienstverfügbarkeitService availability Befindet sich der Dienst in der privaten oder öffentlichen Vorschauversion, oder ist er allgemein verfügbar?Is the service a private preview, a public preview, or generally available?
In welchen Regionen ist der Dienst verfügbar?In what regions is the service available?
Wie ist das Bereitstellungsmodell des Diensts?What is the deployment scope of the service? Handelt es sich um einen regionalen oder um einen globalen Dienst?Is it a regional or global service?
Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs)Service-level agreements (SLAs) Welche SLA gilt für Dienstverfügbarkeit?What is the SLA for service availability?
Welche SLA gilt für Leistung, sofern zutreffend?If applicable, what is the SLA for performance?