Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Dieser Sicherheitsgrundwert basiert auf einer früheren Version von Microsoft Cloud Security Benchmark (v1.0) und kann veraltete Anleitungen enthalten. Die neuesten Sicherheitsleitfäden finden Sie in der Dokumentation zu Azure Data Manager for Energy.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Azure Data Manager for Energy an. Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den zugehörigen Anleitungen, die für Azure Data Manager for Energy gelten.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn eine Funktion über relevante Azure Policy-Definitionen verfügt, werden sie in dieser Baseline aufgeführt, um Sie dabei zu unterstützen, die Einhaltung der Kontrollen und Empfehlungen des Cloudsicherheitsvergleichstests von Microsoft zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.
Hinweis
Features die nicht auf den Azure Data Manager for Energy zutreffen, wurden ausgeschlossen. Informationen dazu, wie Azure Data Manager for Energy vollständig dem Microsoft Cloud Security-Benchmark zugeordnet ist, finden Sie in der vollständigen Azure Data Manager for Energy Security Baseline-Zuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst hochwirksame Verhaltensweisen des Azure Data Manager for Energy zusammen, die zu erhöhten Sicherheitsüberlegungen führen können.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | |
| Der Kunde kann auf den Host bzw. das Betriebssystem zugreifen. | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Falsch |
| Kundeninhalte werden im Ruhezustand gespeichert. | Wahr |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkdatenverkehr des Dienstes beachtet die Regelzuweisungen der Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Azure Private Link
Beschreibung: Native IP-Filterfunktion des Dienstes zur Filterung von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Azure Data Manager für Energieinstanz kann über einen privaten Endpunkt über ein virtuelles Netzwerk verbunden werden, bei dem es sich um eine Gruppe privater IP-Adressen in einem Subnetz innerhalb des virtuellen Netzwerks handelt, indem Azure Private Link verwendet wird. Der Zugriff auf die Instanz kann über diese privaten IP-Adressen eingeschränkt werden.
Der private Endpunkt kann entweder während des Instanzbereitstellungsprozesses oder nach der Instanzerstellung konfiguriert werden. Die Azure Data Manager für Energie Instanz, die mit Private Link konfiguriert ist, kann mithilfe einer automatischen oder manuellen Genehmigungsmethode verbunden werden.
Referenz: Erstellen eines privaten Endpunkts für Azure Data Manager für Energy Preview
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters „Öffentlichen Netzwerkzugriff deaktivieren“. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke, indem Sie den Schalter für den Zugriff auf öffentliche Netzwerke umlegen.
Referenz: Erstellen eines privaten Endpunkts für Azure Data Manager für Energy Preview
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Wahr | Microsoft |
Featurehinweise: Azure Data Manager für Energie verwendet die Berechtigungs-API und fungiert als gruppenbasiertes Autorisierungssystem für Datenpartitionen innerhalb von Azure Data Manager for Energy.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Verwalten von Benutzern
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebenen unterstützt werden, z. B. lokaler Benutzername und Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mithilfe verwalteter Identitäten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Featurehinweise: Derzeit können andere Dienste eine Verbindung mit Azure Data Manager for Energy herstellen, indem eine vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identität verwendet wird. Azure Data Manager für Energie selbst unterstützt jedoch keine vom System zugewiesenen verwalteten Identitäten.
Konfigurationsleitfaden: Verwenden Sie von Azure verwaltete Identitäten, um von anderen Azure-Diensten aus auf Datenebene oder Kontrollebene von Azure Data Manager für Energieinstanz zuzugreifen.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Wahr | Microsoft |
Featurehinweise: Ein Dienstprinzipal wird während des Anwendungsregistrierungsprozesses automatisch erstellt.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Schnellstart: Erstellen einer Azure Data Manager für Energy Preview Preview-Instanz
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf die Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
IM-8: Einschränkung der Exposition von Anmeldeinformationen und geheimen Daten
Funktionen
Integration und Speicherung von Dienstanmeldeinformationen und Geheimnissen in Azure Key Vault
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Begrenzen hoch privilegierter/administrativer Benutzer*innen
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst ist dem Konzept nach ein lokales Verwaltungskonto. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
PA-7: Beachten Sie das Prinzip der "Just Enough Administration" (Prinzip der minimalen Rechte)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Die rollenbasierte Zugriffssteuerung von (Azure Role-Based Access Control, Azure RBAC) kann zum verwalteten Zugriff von Aktionen des Diensts auf Datenebenen verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: der Zugriff auf die Datenebene wird über den Berechtigungsdienst gesteuert.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox zum Überprüfen, genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Referenz: Verwendung von Kunden-Lockbox für den Azure Data Manager im Energy Preview
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung zum Überwachen vertraulicher Datenbewegung (im Kundeninhalt). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-3: Verschlüsseln Sie sensible Daten während der Übertragung
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Wahr | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Verschlüsseln von Daten während der Übertragung
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Featurehinweise: Der Kunde muss die von Microsoft verwalteten Schlüssel (MMK) auf der Registerkarte "Verschlüsselung" während der Bereitstellung von Azure Data Manager für Energieinstanzen auswählen. Die Schlüsseleinstellungen können nicht bearbeitet werden, nachdem die Instanz erstellt wurde.
Konfigurationsleitfaden: Aktivieren Sie die Verschlüsselung ruhender Daten unter Verwendung von plattformverwalteten Schlüsseln (Microsoft-verwaltete Schlüssel), sofern diese nicht automatisch vom Dienst konfiguriert werden.
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Featurehinweise: Kunden können CMK nur während der Bereitstellung des Azure Data Manager für Energieinstanz konfigurieren. CMK-Einstellungen können nicht bearbeitet werden, nachdem die Instanz erstellt wurde.
Konfigurationsleitfaden: Ruhende Datenverschlüsselung schützt Daten und trägt dazu bei, die Sicherheits- und Complianceverpflichtungen der Organisation zu erfüllen. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe des vom Kunden verwalteten Schlüssels.
Referenz: Datensicherheit und Verschlüsselung im Azure Data Manager für Energie
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Featurehinweise: Der Azure Key Vault wird verwendet, um den vom Kunden verwalteten Verschlüsselungsschlüssel zu speichern.
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Wechseln und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem festgelegten Zeitplan oder bei einer Schlüsselaußerbetriebnahme oder -kompromittierung. Wenn ein Customer Managed Key (CMK) auf der Ebene der Arbeitslast, des Dienstes oder der Anwendung verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Referenz: Datensicherheit und Verschlüsselung in Azure Data Manager für Energy Preview
Ressourcenverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Funktionen
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, z. B. an ein Speicherkonto oder an einen Log Analytics-Arbeitsbereich. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Wahr | Falsch | Kunde |
Konfigurationsleitfaden: Aktivieren von Ressourcenprotokollen für den Dienst.
Hinweis: Azure Data Manager für Energy Preview unterstützt das Exportieren von OSDU-Dienstprotokollen nach Azure Monitor mithilfe einer Diagnoseeinstellung, die bei der Problembehandlung, beim Debuggen und Überwachen der OSDU-Dienste hilft. Überwachungsprotokolle stellen Überwachungspfade für Datenebenen-APIs im Azure Data Manager für Energie bereit.
Referenz: Integrieren von OSDU-Dienstprotokollen in Azure Monitor
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Diensteigene Backup-Funktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (sofern nicht Azure Backup verwendet wird). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.