Azure-Sicherheitsbaseline für Azure Lighthouse
Diese Sicherheitsbaseline wendet Anleitungen des Microsoft Cloud Security Benchmark Version 1.0 auf Azure Lighthouse an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für Azure Lighthouse gelten.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features , die nicht für Azure Lighthouse gelten, wurden ausgeschlossen. Informationen zur vollständigen Zuordnung von Azure Lighthouse zum Microsoft Cloud Security Benchmark finden Sie in der vollständigen Zuordnungsdatei für die Azure Lighthouse-Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure Lighthouse mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | MGMT/Governance |
| Der Kunde kann auf HOST/OS zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | False |
| Speichert kundenbezogene Inhalte im Ruhezustand | True |
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure Lighthouse nutzt die Standardverschlüsselung von Microsoft für Daten während der Übertragung.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Doppelte Verschlüsselung
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure Lighthouse nutzt die Standardverschlüsselung ruhender Daten von Microsoft.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Doppelte Verschlüsselung
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [bereitstellen, wenn nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Referenz: Integrierte Azure Lighthouse-Richtliniendefinitionen
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Obwohl Azure Lighthouse keine Ressourcenprotokolle unterstützt, werden Aktivitätsprotokolle unterstützt.
Kunden, die delegierte Abonnements für Azure Lighthouse haben, können Daten des Azure-Aktivitätsprotokolls anzeigen, um sich alle ausgeführten Aktionen anzusehen. So erhalten Kunden umfassende Einblicke in Vorgänge, die von Dienstanbietern ausgeführt werden, sowie in Vorgänge, die von Benutzern innerhalb des eigenen Azure AD-Mandanten des Kunden ausgeführt werden.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Nächste Schritte
- Übersicht über den Microsoft-Cloudsicherheitstest
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.