Einführung

• 3 Minuten

Microsoft Defender für Cloud vergleicht die Konfiguration Ihrer Ressourcen ständig mit den Anforderungen aus Branchenstandards, Vorschriften und Benchmarks.

Um zu verstehen, wie die Verwaltung des Sicherheitsstatus Ihre Umgebung bewertet, ist es wichtig, die Sicherheitsrichtlinien und -initiativen zu verstehen.

Was sind Sicherheitsrichtlinien und -initiativen?

Microsoft Defender für Cloud wendet Sicherheitsinitiativen auf Ihre Abonnements an. Diese Initiativen enthalten mindestens eine Sicherheitsrichtlinie. Jede dieser Richtlinien führt zu einer Sicherheitsempfehlung für die Verbesserung des Sicherheitsstatus.

Was ist eine Sicherheitsrichtlinie?

Eine Azure-Richtliniendefinition, die in Azure Policy erstellt wird, ist eine Regel für bestimmte Sicherheitsbedingungen, die Sie steuern möchten. Mit integrierten Definitionen kann beispielsweise gesteuert werden, welche Art von Ressourcen bereitgestellt werden kann, oder es kann die Verwendung von Tags für alle Ressourcen erzwungen werden. Sie können auch Ihre eigenen benutzerdefinierten Richtliniendefinitionen erstellen.

Um diese Richtliniendefinitionen (integriert oder benutzerdefiniert) implementieren zu können, müssen Sie sie zuweisen. Sie können diese Richtlinien über das Azure-Portal, PowerShell oder die Azure CLI zuweisen. Richtlinien können über Azure Policy aktiviert oder deaktiviert werden.

In Azure Policy gibt es unterschiedliche Arten von Richtlinien. Defender für Cloud verwendet hauptsächlich Überwachungsrichtlinien, mit denen bestimmte Bedingungen und Konfigurationen überprüft werden und anschließend die Konformität gemeldet wird. Außerdem gibt es Erzwingungsrichtlinien, die zum Anwenden von sicheren Einstellungen verwendet werden können.

Was ist eine Sicherheitsinitiative?

Eine Azure Policy ist eine Sammlung mit Azure-Richtliniendefinitionen oder -Regeln, die gruppiert werden, um ein bestimmtes Ziel zu erreichen bzw. einen bestimmten Zweck zu erfüllen. Azure-Initiativen vereinfachen die Verwaltung Ihrer Richtlinien, indem Richtlinien logisch unter einem einzelnen Element gruppiert werden.

Eine Sicherheitsinitiative definiert die gewünschte Konfiguration Ihrer Workloads und trägt zur Erfüllung unternehmensbezogener oder gesetzlicher Sicherheitsanforderungen bei.

Wie Sicherheitsrichtlinien werden auch Defender für Cloud-Initiativen in Azure Policy erstellt. Sie können Azure Policy nutzen, um Ihre Richtlinien zu verwalten und Initiativen zu erstellen und mehreren Abonnements oder für ganze Verwaltungsgruppen zuzuweisen.

Die Standardinitiative, die jedem Abonnement in Microsoft Defender für Cloud automatisch zugewiesen wird, ist der Azure-Sicherheitsvergleichstest (Azure Security Benchmark). Bei diesem Vergleichstest handelt es sich um einen von Microsoft erstellten Satz mit Azure-spezifischen Richtlinien zu bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Complianceframeworks basieren. Diese weit verbreitete Benchmark basiert auf den Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.

Defender für Cloud verfügt über die folgenden Optionen für die Arbeit mit Sicherheitsinitiativen und -richtlinien:

• Anzeigen und Bearbeiten der integrierten Standardinitiative: Wenn Sie Defender für Cloud aktivieren, wird die Initiative mit dem Namen „Azure Security Benchmark“ (Azure-Sicherheitsvergleichstest) automatisch allen in Defender für Cloud registrierten Abonnements zugewiesen. Zum Anpassen dieser Initiative können Sie die einzelnen enthaltenen Richtlinien aktivieren bzw. deaktivieren, indem Sie die Parameter einer Richtlinie bearbeiten. Sehen Sie sich die Liste der integrierten Sicherheitsrichtlinien an, um die standardmäßig verfügbaren Optionen zu verstehen.

• Hinzufügen eigener benutzerdefinierter Initiativen: Wenn Sie die auf Ihr Abonnement angewendeten Sicherheitsinitiativen anpassen möchten, können Sie dies in Defender für Cloud durchführen. Sie erhalten Empfehlungen, wenn Ihre Computer Ihre erstellten Richtlinien nicht einhalten. Anweisungen zum Erstellen und Zuweisen von benutzerdefinierten Richtlinien finden Sie unter Erstellen von benutzerdefinierten Sicherheitsinitiativen und -richtlinien.

• Hinzufügen von Standards für die Einhaltung gesetzlicher Bestimmungen als Initiativen: Im Defender für Cloud-Dashboard für die Einhaltung gesetzlicher Bestimmungen wird der Status aller Bewertungen in Ihrer Umgebung im Zusammenhang mit einem bestimmten Standard oder einer Verordnung (z. B. Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020) angezeigt.

Was ist eine Sicherheitsempfehlung?

Defender für Cloud nutzt die Richtlinien, um den Compliance-Status Ihrer Ressourcen regelmäßig zu analysieren und so potenzielle Fehlkonfigurationen und Schwachstellen in der Sicherheit zu erkennen. Anschließend erhalten Sie Empfehlungen dazu, wie Sie diese Probleme beheben können. Empfehlungen sind das Ergebnis der Bewertung Ihrer Ressourcen anhand der relevanten Richtlinien und der Identifizierung von Ressourcen, von denen Ihre definierten Anforderungen nicht erfüllt werden.

Defender für Cloud erstellt die Sicherheitsempfehlungen basierend auf den ausgewählten Initiativen. Wenn eine Richtlinie Ihrer Initiative mit Ihren Ressourcen abgeglichen wird und dabei eine oder mehrere nicht konforme Ressourcen gefunden werden, wird sie in Defender für Cloud als Empfehlung dargestellt.

Empfehlungen sind Maßnahmen, die Sie ergreifen sollten, um Ihre Ressourcen zu härten und zu schützen. Jede Empfehlung enthält die folgenden Informationen:

• Eine kurze Problembeschreibung
• Die Schritte zur Bereinigung, die zum Implementieren der Empfehlung ausgeführt werden müssen
• Die betroffenen Ressourcen

Azure Security Benchmark ist eine Initiative mit Anforderungen.

Beispielsweise müssen Azure Storage-Konten den Netzwerkzugriff einschränken, um die Angriffsfläche zu verringern.

Die Initiative umfasst mehrere Richtlinien, die jeweils einen bestimmten Ressourcentyp erfordern. Diese Richtlinien erzwingen die Anforderungen in der Initiative.

Im genannten Beispiel wird die Speicheranforderung mit der Richtlinie „Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken“ erzwungen.

Microsoft Defender für Cloud führt eine ständige Bewertung Ihrer verbundenen Abonnements durch. Wenn eine Ressource gefunden wird, die eine Richtlinie nicht erfüllt, wird eine Empfehlung angezeigt, diese Situation zu beheben und die Sicherheit von Ressourcen zu verstärken, die Ihre Sicherheitsanforderungen nicht erfüllen.

Wenn also beispielsweise ein Azure Storage-Konto in einem Ihrer geschützten Abonnements nicht durch VNET-Regeln geschützt ist, wird die Empfehlung angezeigt, diese Ressourcen zu härten.

Somit enthält eine Initiative (1) Richtlinien (2), die umgebungsspezifische Empfehlungen (3) generieren.

Sie sind Security Operations Analyst und arbeiten in einem Unternehmen, das Microsoft Defender für Cloud verwendet. Sie sind für die Einhaltung von Vorschriften für Ihre Hybrid-Cloud-Ressourcen verantwortlich.

Sie müssen die Anzahl der Kontrollen verbessern, die den Azure Security Benchmark bestehen, der in Microsoft Defender für Cloud angezeigt wird.

Nachdem Sie nun mit den Sicherheitsrichlinien, Initiativen und Empfehlungen von Microsoft Defender for Cloud vertraut sind, können Sie es sich in Aktion ansehen.