Sicherheitskontrolle: Sichere Konfiguration
Hinweis
Der aktuelle Vergleichstest für die Azure-Sicherheit ist hier verfügbar.
Erstellen, implementieren und verwalten Sie die Sicherheitskonfiguration von Azure-Ressourcen aktiv (nachverfolgen, melden und korrigieren), um zu verhindern, dass Angreifer anfällige Dienste und Einstellungen ausnutzen.
7.1: Einrichten sicherer Konfigurationen für alle Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.1 | 5,1 | Kunde |
Verwenden Sie Azure Policy-Aliase, um benutzerdefinierte Richtlinien zur Überprüfung oder Durchsetzung der Konfiguration Ihrer Azure-Ressourcen zu erstellen. Sie können auch integrierte Azure Policy-Definitionen verwenden.
Außerdem hat Azure Resource Manager die Möglichkeit, die Vorlage in JSON-Code (JavaScript Object Notation) zu exportieren, der zur Sicherstellung überprüft werden sollte, dass die Konfigurationen die Sicherheitsanforderungen für Ihre Organisation erfüllen/übertreffen.
Sie können auch Empfehlungen von Azure Security Center als sichere Konfigurationsbaseline für Ihre Azure-Ressourcen verwenden.
Tutorial: Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung
Exportieren von einzelnen oder mehreren Ressourcen in eine Vorlage im Azure-Portal
7.2: Einrichten sicherer Betriebssystemkonfigurationen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.2 | 5,1 | Kunde |
Verwenden Sie die Azure Security Center-Empfehlungen, um die Sicherheitskonfigurationen für alle Computeressourcen zu verwalten. Darüber hinaus können Sie auch benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des für Ihre Organisation benötigten Betriebssystems festzulegen.
7.3: Verwalten von sicheren Konfigurationen für Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.3 | 5,2 | Kunde |
Verwenden Sie die Azure Policy-Auswirkungen [Deny] und [DeployIfNotExists], um sichere Einstellungen für alle Ihre Azure-Ressourcen zu erzwingen. Darüber hinaus können Sie Azure Resource Manager-Vorlagen verwenden, um die Sicherheitskonfiguration der von Ihrer Organisation benötigten Azure-Ressourcen zu verwalten.
7.4: Verwalten sicherer Betriebssystemkonfigurationen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.4 | 5,2 | Shared |
Befolgen Sie die Azure Security Center-Empfehlungen zum Durchführen von Sicherheitsrisikobewertungen für Ihre Azure-Computeressourcen. Darüber hinaus können Sie auch Azure Resource Manager-Vorlagen, benutzerdefinierte Betriebssystemimages oder Azure Automation State Configuration verwenden, um die Sicherheitskonfiguration des für Ihre Organisation benötigten Betriebssystems zu verwalten. Die Vorlagen für virtuelle Computer von Microsoft in Kombination mit Azure Automation Desired State Configuration können als Hilfe beim Erfüllen und Verwalten der Sicherheitsanforderungen dienen.
Beachten Sie hierbei auch, dass von Microsoft im Azure Marketplace veröffentlichte VM-Images von Microsoft verwaltet und gepflegt werden.
Implementieren von Empfehlungen für die Sicherheitsrisikobewertung aus Azure Security Center
Erstellen eines virtuellen Azure-Computers mithilfe einer Azure Resource Manager-Vorlage
Erstellen eines virtuellen Windows-Computers im Azure-Portal
7.5: Sicheres Speichern der Konfiguration von Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7,5 | 5.3 | Kunde |
Verwenden Sie Azure DevOps, um Ihren Code sicher zu speichern und zu verwalten, z. B. benutzerdefinierte Azure-Richtlinien, Azure Resource Manager-Vorlagen und Desired State Configuration-Skripts. Um auf die Ressourcen zuzugreifen, die Sie in Azure DevOps verwalten, können Sie bestimmten Benutzern, integrierten Sicherheitsgruppen oder in Azure Active Directory (Azure AD) definierte Gruppen (falls in Azure DevOps integriert) oder in Active Directory definierte Gruppen (falls in TFS integriert), Berechtigungen gewähren oder verweigern.
7.6: Sicheres Speichern von benutzerdefinierten Betriebssystemimages
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.6 | 5.3 | Kunde |
Wenn benutzerdefinierte Images verwendet werden, sollten Sie durch die Nutzung der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) sicherstellen, dass nur autorisierte Benutzer auf die Images zugreifen können. Mit einem Katalog mit freigegebenen Images können Sie Ihre Images für unterschiedliche Benutzer, Dienstprinzipale oder AD-Gruppen in Ihrer Organisation freigeben. Speichern Sie Containerimages in Azure Container Registry, und verwenden Sie Azure RBAC, um sicherzustellen, dass nur autorisierte Benutzer auf die Images zugreifen können.
7.7: Bereitstellen von Konfigurationsverwaltungstools für Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7,7 | 5.4 | Kunde |
Definieren und implementieren Sie Standardsicherheitskonfigurationen für Azure-Ressourcen mit Azure Policy. Verwenden Sie Azure Policy-Aliase, um benutzerdefinierte Richtlinien zur Überprüfung oder Durchsetzung der Netzwerkkonfiguration Ihrer Azure-Ressourcen zu erstellen. Sie können auch auf integrierte Richtliniendefinitionen zurückgreifen, die sich auf Ihre spezifischen Ressourcen beziehen. Zusätzlich können Sie Azure Automation verwenden, um Konfigurationsänderungen bereitzustellen.
7.8: Bereitstellen von Konfigurationsverwaltungstools für Betriebssysteme
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7,8 | 5.4 | Kunde |
Azure Automation DSC ist ein Konfigurationsverwaltungsdienst für DSC-Knoten (Desired State Configuration) in jedem beliebigen Cloud- oder lokalen Rechenzentrum. Sie können problemlos Computer integrieren, ihnen deklarative Konfigurationen zuweisen und Berichte dazu anzeigen, inwieweit jeder Computer mit dem gewünschten Zustand, den Sie angegeben haben, kompatibel ist.
7.9: Implementieren der automatisierten Konfigurationsüberwachung für Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.9 | 5.5 | Kunde |
Verwenden Sie Azure Security Center, um Baselineüberprüfungen der Azure-Ressourcen durchzuführen. Nutzen Sie Azure Policy auch für Warnungen und Überprüfungen in Bezug auf Azure-Ressourcenkonfigurationen.
7.10: Implementieren der automatisierten Konfigurationsüberwachung für Betriebssysteme
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.10 | 5.5 | Kunde |
Verwenden Sie Azure Security Center, um Baselineüberprüfungen für Betriebssystem- und Docker-Einstellungen für Container durchzuführen.
7.11: Sicheres Verwalten von Azure-Geheimnissen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.11 | Version 13.1 | Kunde |
Verwenden Sie die verwaltete Dienstidentität in Verbindung mit Azure Key Vault, um die Verwaltung von Geheimnissen für Cloudanwendungen zu vereinfachen und zu schützen.
7.12: Sicheres und automatisches Verwalten von Identitäten
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.12 | 4,1 | Kunde |
Verwenden Sie verwaltete Identitäten, um Azure-Dienste mit einer automatisch verwalteten Identität in Azure AD bereitzustellen. Mit verwalteten Identitäten können Sie die Authentifizierung bei jedem Dienst verwenden, der die Azure AD-Authentifizierung unterstützt, einschließlich Key Vault. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.
7.13: Beheben der unbeabsichtigten Offenlegung von Anmeldeinformationen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 7.13 | 18.1, 18.7 | Kunde |
Implementieren Sie Credential Scanner, um Anmeldeinformationen im Code zu identifizieren. In Credential Scanner wird auch das Verschieben von ermittelten Anmeldeinformationen an sicherere Speicherorte (z. B. Azure Key Vault) empfohlen.
Nächste Schritte
- Weitere Informationen finden Sie in der nächsten Sicherheitskontrolle: Schutz vor Schadsoftware