Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen für SWIFT CSP-CSCF v2021
Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in SWIFT CSP-CSCF v2021 entspricht. Weitere Informationen zu diesem Compliancestandard finden Sie unter SWIFT CSP-CSCF v2021. Grundlegendes zum Besitzer finden Sie unter Azure Policy-Richtliniendefinition und Gemeinsame Verantwortung in der Cloud.
Die folgenden Zuordnungen gelten für die Steuerungen unter SWIFT CSP-CSCF v2021. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der integrierten Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen in SWIFT CSP-CSCF v2021, und wählen Sie sie aus.
Wichtig
Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.
SWIFT-Umgebungsschutz
SWIFT-Umgebungsschutz
ID: SWIFT CSCF v2021 1.1
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten | Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. | Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
| Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. | Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
| Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden | Verwenden Sie virtuelle Netzwerkdienstendpunkte, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem virtuellen Azure-Netzwerk einzuschränken. Weitere Informationen zu App Service Dienstendpunkten finden Sie unter https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.1 |
| Azure DDoS Protection sollte aktiviert sein. | DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Cosmos DB sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
| Event Hub sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht jeden Event Hub, der nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Key Vault sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Key Vault-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Privater Endpunkt muss für MariaDB-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für MySQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
| SQL Server sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle SQL Server-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | AuditIfNotExists, Disabled | 1.0.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten sollten einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Privilegierte Kontosteuerung des Betriebssystems
ID: SWIFT CSCF v2021 1.2
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Virtualisierungsplattformschutz
ID: SWIFT CSCF v2021 1.3
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | Überwachung | 1.0.0 |
Einschränkung des Internetzugriffs
ID: SWIFT CSCF v2021 1.4
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.1 |
Reduzieren der Angriffsoberfläche und Sicherheitsrisiken
Sicherheit des internen Datenflusses
ID: SWIFT CSCF v2021 2.1
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
| Die Azure SQL-Datenbank muss eine TLS-Version 1.2 oder höher ausführen | Höhere Sicherheit wird durch Festlegen von TLS-Version 1.2 oder höher erzielt. So können nur Clients, die TLS 1.2 oder höher verwenden, auf Ihre Azure SQL-Datenbank-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Disabled, Deny | 2.0.0 |
| Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.1.0 |
| Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen | Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. | Audit, Deny, Disabled | 1.1.0 |
| SQL Managed Instance muss TLS-Version 1.2 oder höher verwenden | Höhere Sicherheit wird durch Festlegen von Version 1.2 als Mindestversion für TLS erzielt. So können nur Clients, die TLS 1.2 verwenden, auf Ihre SQL Managed Instance-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Disabled | 1.0.1 |
| Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
Sicherheitsupdates
ID: SWIFT CSCF v2021 2.2
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Windows-VMs mit ausstehendem Neustart überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn aus einem der folgenden Gründe ein Neustart des Computers aussteht: komponentenbasierte Wartung, Windows-Update, ausstehende Dateiumbenennung, ausstehende Computerumbenennung, ausstehender Neustart durch den Konfigurations-Manager. Jede Erkennung verfügt über einen eigenen Registrierungspfad. | auditIfNotExists | 2.0.0 |
| Systemupdates für VM-Skalierungsgruppen sollten installiert werden | Hiermit überprüfen Sie, ob Systemsicherheitsupdates und kritische Updates fehlen, durch deren Installation sichergestellt werden soll, dass Ihre Windows- und Linux-VM-Skalierungsgruppen sicher sind. | AuditIfNotExists, Disabled | 3.0.0 |
| Systemupdates sollten auf Ihren Computern installiert sein | Hiermit werden fehlende Sicherheitssystemupdates auf Ihren Servern über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 4.0.0 |
Systemabsicherung
ID: SWIFT CSCF v2021 2.3
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Disabled | 3.1.0 |
| Windows-Computer überwachen, auf denen Zertifikate innerhalb der angegebenen Anzahl von Tagen ablaufen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ablaufdatum von Zertifikaten im angegebenen Speicher außerhalb der als Parameter angegeben Anzahl von Tagen liegt. Die Richtlinie bietet auch die Möglichkeit, nur bestimmte Zertifikate zu überprüfen oder bestimmte Zertifikate auszuschließen, und Sie können angeben, ob abgelaufene Zertifikate gemeldet werden sollen. | auditIfNotExists | 2.0.0 |
| Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Sicherheit des Back-Office-Datenflusses
ID: SWIFT CSCF v2021 2.4A
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
| Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
| Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
| Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
| Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
Datenschutz für externe Übertragung
ID: SWIFT CSCF v2021 2.5A
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
| VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | Überwachung | 1.0.0 |
| Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
| Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Zugriff auf Funktionsanwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
| Georedundanter Speicher muss für Speicherkonten aktiviert sein | Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden | Audit, Disabled | 1.0.0 |
| Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. | AuditIfNotExists, Disabled | 2.0.0 |
| Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
| Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
| Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison). | AuditIfNotExists, Disabled | 2.0.3 |
Vertraulichkeit und Integrität der Operatorsitzung
ID: SWIFT CSCF v2021 2.6
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Die Azure SQL-Datenbank muss eine TLS-Version 1.2 oder höher ausführen | Höhere Sicherheit wird durch Festlegen von TLS-Version 1.2 oder höher erzielt. So können nur Clients, die TLS 1.2 oder höher verwenden, auf Ihre Azure SQL-Datenbank-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Disabled, Deny | 2.0.0 |
| Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
| SQL Managed Instance muss TLS-Version 1.2 oder höher verwenden | Höhere Sicherheit wird durch Festlegen von Version 1.2 als Mindestversion für TLS erzielt. So können nur Clients, die TLS 1.2 verwenden, auf Ihre SQL Managed Instance-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Disabled | 1.0.1 |
| Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
Überprüfung auf Sicherheitsrisiken
ID: SWIFT CSCF v2021 2.7
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
| Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden | Hiermit werden Sicherheitsrisiken in der Sicherheitskonfiguration von Computern überwacht, auf denen Docker installiert ist, und es werden Empfehlungen in Azure Security Center angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden | Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
| Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
| Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
Physische Sicherheit der Umgebung
Physische Sicherheit
ID: SWIFT CSCF v2021 3.1
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | Überwachung | 1.0.0 |
Verhindern der Kompromittierung von Anmeldeinformationen
Kennwortrichtlinie
ID: SWIFT CSCF v2021 4.1
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Disabled | 3.1.0 |
| Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. | AuditIfNotExists, Disabled | 3.1.0 |
| Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. | AuditIfNotExists, Disabled | 2.1.0 |
| Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen | AuditIfNotExists, Disabled | 2.1.0 |
Multi-Factor Authentication
ID: SWIFT CSCF v2021 4.2
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Verwalten von Identitäten und Trennen von Berechtigungen
Logische Zugriffssteuerung
ID: SWIFT CSCF v2021 5.1
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Tokenverwaltung
ID: SWIFT CSCF v2021 5.2
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Speicher für physisches und logisches Kennwort
ID: SWIFT CSCF v2021 5.4
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Audit, Deny, Disabled | 2.1.0 |
Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen
Schutz vor Schadsoftware
ID: SWIFT CSCF v2021 6.1
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein | Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | Diese Richtlinie überwacht alle virtuellen Windows-Computer, die nicht für die automatische Aktualisierung von Microsoft Antimalware-Schutzsignaturen konfiguriert sind. | AuditIfNotExists, Disabled | 1.0.0 |
| Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden | Diese Richtlinie überwacht alle Windows Server-VMs ohne bereitgestellte Microsoft IaaSAntimalware-Erweiterung. | AuditIfNotExists, Disabled | 1.1.0 |
| Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen | Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Softwareintegrität
ID: SWIFT CSCF v2021 6.2
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
Datenbankintegrität
ID: SWIFT CSCF v2021 6.3
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Cosmos DB sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
| Verbindungstrennungen für PostgreSQL-Datenbankserver müssen aktiviert sein | Mit dieser Richtlinie können PostgreSQL-Datenbanken in Ihrer Umgebung überwacht werden, ohne dass die log_disconnections-Einstellung aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
| Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 2.0.1 |
| Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 3.0.0 |
| Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
Protokollierung und Überwachung
ID: SWIFT CSCF v2021 6.4
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | Meldet virtuelle Computer als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Das Aktivitätsprotokoll muss mindestens ein Jahr lang aufbewahrt werden | Diese Richtlinie überwacht das Aktivitätsprotokoll, wenn die Aufbewahrung nicht auf 365 Tage oder unbegrenzt (Festlegung der Aufbewahrungstage auf 0) festgelegt ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. | Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Das Azure Monitor-Protokollprofil muss Protokolle für die Kategorien „write“, „delete“ und „action“ erfassen | Diese Richtlinie stellt sicher, dass ein Protokollprofil Protokolle für die Kategorien „write“, „delete“ und „action“ sammelt. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor muss Aktivitätsprotokolle aus allen Regionen erfassen | Diese Richtlinie überwacht das Azure Monitor-Protokollprofil darauf, dass keine Aktivitäten aus allen unterstützten Azure-Regionen, einschließlich „Global“, exportiert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Azure Monitor-Lösung „Sicherheit und Überwachung“ muss bereitgestellt werden | Diese Richtlinie stellt sicher, dass „Sicherheit und Überwachung“ bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein | Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und der Agent nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In IoT Hub müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 3.1.0 |
| In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
| In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| Die Log Analytics-Erweiterung sollte auf VM-Skalierungsgruppen installiert sein | Diese Richtlinie überwacht alle Windows-/Linux-VM-Skalierungsgruppen, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1 |
| Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein | Diese Richtlinie überwacht, ob auf allen Windows-/Linux-VMs die Log Analytics-Erweiterung installiert ist. | AuditIfNotExists, Disabled | 1.0.1 |
Angriffserkennung
ID: SWIFT CSCF v2021 6.5A
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. | Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
Planen der Reaktion auf Vorfälle und Informationsfreigabe
Planen der Reaktion auf Cybervorfälle
ID: SWIFT CSCF v2021 7.1
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.1.0 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.1.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Nächste Schritte
Weitere Artikel über Azure Policy:
- Übersicht über die Einhaltung gesetzlicher Bestimmungen.
- Weitere Informationen finden Sie unter Struktur der Initiativendefinition.
- Sehen Sie sich weitere Beispiele unter Azure Policy-Beispiele an.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.