Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen von Microsoft Cloud Security Benchmark Version 1.0 auf Batch an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen auf Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für Batch gelten.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure Policy Definitionen werden im Abschnitt "Einhaltung gesetzlicher Vorschriften" auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden sie in diesem Basisplan aufgeführt, damit Sie die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features die nicht auf Batch anwendbar sind, wurden ausgeschlossen. Informationen dazu, wie Batch vollständig dem Microsoft Cloud Security-Benchmark zugeordnet ist, finden Sie im full Batch security baseline mapping file.
Sicherheitsprofil
Das Sicherheitsprofil fasst verhaltensweisen mit hoher Auswirkung von Batch zusammen, was zu erhöhten Sicherheitsaspekten führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Compute |
| Kunde kann auf HOST / Betriebssystem zugreifen. | Nur Leseberechtigung |
| Der Dienst kann im Virtual Network des Kunden bereitgestellt werden. | Richtig |
| Ruhende Kundeninhalte werden gespeichert. | Falsch |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Features
Virtuelle Netzwerk-Integration
Description: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Configuration Guidance: Azure Batch-Pools innerhalb eines virtuellen Netzwerks bereitstellen. Erwägen Sie die Bereitstellung des Pools ohne öffentliche IP-Adressen, um den Zugriff auf Knoten im privaten Netzwerk zu beschränken und die Sichtbarkeit der Knoten aus dem Internet zu verringern.
Referenz: Erstellen eines Azure Batch-Pools in einem virtuellen Netzwerk
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Datenverkehr des Dienstnetzwerks berücksichtigt die Regelzuweisungen der Netzwerksicherheitsgruppen in seinen Subnetzen. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Batch fügt standardmäßig Netzwerksicherheitsgruppen (NSGs) auf der Netzwerkschnittstellenebene (NIC) hinzu, die an Computeknoten angefügt ist.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Erstellen eines Azure Batch-Pools in einem virtuellen Netzwerk
NS-2: Sichern von cloud services mit Netzwerksteuerelementen
Features
Azure Private Link
Description: Diensteigene IP-Filterfunktion zum Filtern des Netzwerkdatenverkehrs (nicht zu verwechseln mit NSG oder Azure Firewall). Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Configuration Guidance: Bereitstellen privater Endpunkte für Azure Batch Konten. Dadurch wird der Zugriff auf die Batchkonten auf das virtuelle Netzwerk, in dem sie sich befinden, oder auf ein gekoppeltes virtuelles Netzwerk beschränkt.
Reference: Nutzung privater Endpunkte mit Azure Batch Konten
Deaktivieren von Access für öffentliche Netzwerke
Description: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder durch die Verwendung einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters "Öffentlichen Netzwerkzugriff deaktivieren". Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Configuration Guidance: Deaktivieren Sie den öffentlichen Zugriff für Batch-Konten, indem Sie die Einstellung "öffentlicher Netzwerkzugriff" auf deaktiviert festlegen.
Reference: Deaktivieren Sie den Zugriff auf das öffentliche Netzwerk
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung erforderlich für Datenebenen-Access
Description: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für Zugriff auf die Datenebene. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Configuration Guidance: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um Ihre Datenebene access zu steuern, anstatt gemeinsam genutzte Schlüssel zu verwenden.
Referenz: Authentifizierung mit Azure AD
Lokale Authentifizierungsmethoden für Datenebenen-Zugriff
Description: Lokale Authentifizierungsmethoden, die für den Datenebenen-Zugriff unterstützt werden, wie z. B. ein lokaler Benutzername und ein Kennwort. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Configuration Guidance: Beschränken Sie die Nutzung lokaler Authentifizierungsmethoden für den Zugriff auf die Datenebene. Verwenden Sie stattdessen Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um Ihre Datenebene access zu steuern.
Reference: Authentication via Shared Key
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Datenebenenaktionen unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Configuration Guidance: Verwenden Sie nach Möglichkeit Azure verwaltete Identitäten anstelle von Dienstprinzipalen, die sich bei Azure Diensten und Ressourcen authentifizieren können, die Azure Active Directory (Azure AD)-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden von der Plattform vollständig verwaltet, regelmäßig geändert und geschützt, wodurch hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien vermieden werden.
Reference: Configure verwaltete Identitäten in Batch-Pools
Dienstprinzipale
Beschreibung: Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Zusätzliche Anleitungen: Um eine Anwendung zu authentifizieren, die unbeaufsichtigt ausgeführt wird, können Sie einen Dienstprinzipal verwenden. Nachdem Sie Ihre Anwendung registriert haben, nehmen Sie die entsprechenden Konfigurationen im Azure-Portal für den Dienstprinzipal vor, z. B. das Anfordern eines geheimen Schlüssels für die Anwendung und das Zuweisen Azure RBAC-Rollen.
Referenz: Batch-Dienstlösungen mit Azure Active Directory authentifizieren
IM-7: Einschränkung des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für die Datenebene
Description: Der Zugriff auf die Datenebene kann mithilfe von Azure AD Conditional Access Policies gesteuert werden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-8: Einschränken der Offenlegung von Anmeldeinformationen und geheimen Schlüsseln
Features
Integration und Speicherung von Dienstanmeldeinformationen und Geheimnissen in Azure Key Vault
Description: Datenebene unterstützt die native Verwendung von Azure Key Vault für anmeldeinformationen und geheimen Speicher. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privileged access.
PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)
Features
Azure RBAC für Datenebene
Description: Azure Role-Based Access Control (Azure RBAC) kann zum Verwalten des Zugriffs auf Aktionen der Datenebene verwendet werden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Configuration Guidance: Verwenden Sie die Azure rollenbasierte Zugriffskontrolle (Azure RBAC), um den Zugriff auf Azure-Ressourcen über vordefinierte Rollenzuweisungen zu verwalten. Azure Batch unterstützt Azure RBAC für die Verwaltung des Zugriffs auf folgende Ressourcentypen: Konten, Aufträge, Aufgaben und Pools.
Referenz: Azure-RBAC Ihrer Anwendung zuweisen
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung zur Überwachung von Bewegungen sensibler Daten (in Kundeninhalten). Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln Sie vertrauliche Daten während der Übertragung
Features
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt Verschlüsselung während der Übertragung auf der Datenebene. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Einige der in Batch-APIs angegebenen Informationen, z. B. Kontozertifikate, Auftrags- und Aufgabenmetadaten und Aufgabenbefehlszeilen, werden automatisch verschlüsselt, wenn sie vom Batchdienst gespeichert werden. Standardmäßig werden diese Daten mit Azure Batch plattformverwalteten Schlüsseln verschlüsselt, die für jedes Batchkonto eindeutig sind.
Sie können diese Daten auch mit vom Kunden verwalteten Schlüsseln verschlüsseln. Azure Key Vault wird verwendet, um den Schlüssel zu generieren und zu speichern, wobei der Schlüsselbezeichner bei Ihrem Batchkonto registriert ist.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
DP-5: Bei Bedarf die Option eines kundenseitig verwalteten Schlüssels für die Verschlüsselung ruhender Daten verwenden.
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Vorschriften erforderlich ist, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten unter Verwendung eines kundenseitig verwalteten Schlüssels für diese Dienste.
Reference: Konfigurieren von kundenverwalteten Schlüsseln
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Description: Der Dienst unterstützt Azure Key Vault Integration für alle Kundenschlüssel, Geheimschlüssel oder Zertifikate. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Configuration Guidance: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und storage. Wechseln und widerrufen Sie Ihre Schlüssel im Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine Schlüsselstilllegung oder -kompromittierung vorliegt. Wenn cmK (Customer Managed Key) in der Arbeitsauslastung, dem Dienst oder der Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEY Encryption Key, KEK) in Ihrem Key Vault zu generieren. Stellen Sie sicher, dass Schlüssel mit Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Hinweis: Der Kunde muss sich für die Verwendung von vom Kunden verwalteten Schlüsseln anmelden, andernfalls verwendet der Dienst standardmäßig von Microsoft verwaltete Plattformschlüssel.
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Description: Der Dienst unterstützt Azure Key Vault Integration für alle Kundenzertifikate. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Configuration Guidance: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu steuern und zu verwalten, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Löschung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B.: unzureichende Schlüsselgröße, übermäßig lange Gültigkeitsdauer oder unsichere Kryptografie. Richten Sie die automatische Erneuerung des Zertifikats in Azure Key Vault und im Azure-Dienst (falls unterstützt) basierend auf einem definierten Zeitplan oder bei Zertifikatsablauf ein. Wenn die automatische Drehung in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mit manuellen Methoden in Azure Key Vault und der Anwendung gedreht werden.
Referenz: Zertifikate verwenden und sicher auf Azure Key Vault mit Batch zugreifen
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Features
Azure Policy-Unterstützung
Description: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Configuration Guidance: Verwenden Sie Microsoft Defender für Cloud zum Konfigurieren von Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure Ressourcen. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde. Verwenden Sie die Azure Policy-Effekte [deny] und [deployIfNotExist], um eine sichere Konfiguration von Azure-Ressourcen zu erzwingen.
Für Szenarien, in denen integrierte Richtliniendefinitionen nicht vorhanden sind, können Sie Azure Policy Aliase im Namespace "Microsoft.Batch" verwenden, um benutzerdefinierte Richtlinien zu erstellen.
Reference: Azure Policy vordefinierte Definitionen für Azure Batch
AM-5: Nur genehmigte Anwendungen auf virtuellen Computern verwenden
Features
Microsoft Defender für Cloud – Adaptive Anwendungssteuerelemente
Description: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer mit adaptiven Anwendungssteuerelementen in Microsoft Defender für Cloud ausgeführt werden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender für Dienst- und Produktangebot
Description: Der Dienst bietet eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Features
Azure Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an eine eigene Datensenke senden, z. B. ein Speicherkonto oder einen Log-Analytics-Arbeitsbereich. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsanleitung: Aktivieren Sie Azure-Ressourcenprotokolle für Azure Batch für die folgenden Logtypen: ServiceLog und AllMetrics.
Reference: Batch-Metriken, Warnungen und Protokolle zur Diagnoseauswertung und -überwachung
Haltungs- und Verwundbarkeitsmanagement
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherheitsstatus- und Schwachstellenmanagement.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Features
Azure Automation State Configuration (Azure-Dienst zur Automatisierung und Verwaltung von Zustandskonfigurationen)
Description: Azure Automation State Configuration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems aufrechtzuerhalten. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Azure Policy Gastkonfigurations-Agent
Description: Azure Policy Gastkonfigurations-Agent kann als Erweiterung für Computeressourcen installiert oder bereitgestellt werden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten VM-Images oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit ein vorkonfiguriertes gehärtetes Image eines vertrauenswürdigen Lieferanten, z. B. Microsoft, oder erstellen Sie einen gewünschten Basisplan für eine sichere Konfiguration in der VM-Imagevorlage.
Kunden können auch benutzerdefinierte Betriebssystemimages für Azure Batch verwenden. Wenn Sie die Konfiguration des virtuellen Computers für Ihre Azure Batch verwenden, stellen Sie sicher, dass benutzerdefinierte Images für die Anforderungen Ihrer Organisation gehärtet werden. Für das Lifecycle-Management speichern die Pools die Images in einer gemeinsamen Bildergalerie. Sie können einen sicheren Imagebuildprozess mit Azure Automation Tools wie Azure Image Builder einrichten.
Referenz: Verwenden Sie ein verwaltetes Abbild, um einen benutzerdefinierten Imagepool zu erstellen
Benutzerdefinierte Containerimages
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten Containerimages oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Konfigurationsleitfaden: Wenn Sie mithilfe des Batchpools Aufgaben in docker-kompatiblen Containern auf den Knoten ausführen, verwenden Sie vorkonfigurierte, gehärtete Container-Images von einem vertrauenswürdigen Lieferanten wie Microsoft oder integrieren Sie die gewünschte sichere Konfigurationsbasislinie in die Container-Image-Vorlage.
Reference: Ausführen von Containeranwendungen auf Azure Batch
PV-5: Durchführen von Sicherheitsrisikobewertungen
Features
Sicherheitsrisikobewertung mithilfe von Microsoft Defender
Description: Der Dienst kann mit Hilfe von Microsoft Defender für Cloud oder anderen Microsoft Defender-Diensten mit integrierter Schwachstellenbewertungsfunktionalität (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS) auf Schwachstellen gescannt werden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PV-6: Schnelle und automatische Behebung von Sicherheitsrisiken
Features
Azure Automation Updateverwaltung
Description: Der Dienst kann Azure Automation Updateverwaltung verwenden, um Patches und Updates automatisch bereitzustellen. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Endpunktsicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security-Benchmark: Endpunktsicherheit.
ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
Features
EDR-Lösung
Description: Endpoint Detection and Response (EDR)-Feature wie Azure Defender für Server können auf dem Endpunkt bereitgestellt werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
ES-2: Verwenden moderner Antischadsoftware
Features
Antischadsoftware-Lösung
Beschreibung: Antischadsoftware-Funktionen wie Microsoft Defender Antivirus und Microsoft Defender für Endpunkt können auf dem Endpunkt bereitgestellt werden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
ES-3: Sicherstellen, dass Antischadsoftware und Signaturen aktualisiert werden
Features
Überwachung des Zustands der Anti-Malware-Lösung
Beschreibung: Die Antischadsoftwarelösung bietet Überwachung des Gesundheitsstatus für Plattform, Engine und automatische Signaturupdates. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Description: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Diensteigene Sicherungsfunktion
Description: Der Dienst unterstützt seine eigene systemeigene Sicherungsfunktion (wenn Azure Backup nicht verwendet wird). Learn more.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Erfahren Sie mehr über Azure Sicherheitsbaselines