Verwalten des Sicherheitsstatus mit Azure Security Benchmark

Verwalten des Sicherheitsstatus mit Azure Security Benchmark

14.06.2025

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren dabei helfen, den Azure Security Benchmark (ASB) zu verwenden, um den Sicherheitsstatus ihrer Azure-Umgebungen zu verwalten und zu verbessern. In einer sich ständig weiterentwickelnden Cloud-Landschaft ist es eine ständige Herausforderung, sicherzustellen, dass Ressourcen sicher konfiguriert sind und den Best Practices entsprechen. ASB bietet in Verbindung mit Microsoft Defender for Cloud ein umfassendes Framework zur Bewertung, Überwachung und Verbesserung der Sicherheit Ihrer Cloud-Workloads [1].

Einführung

Cloud-Sicherheit liegt in der gemeinsamen Verantwortung des Cloud-Anbieters (Microsoft) und des Kunden. Obwohl Microsoft die zugrunde liegende Infrastruktur schützt, liegt die Sicherheit der Daten, Anwendungen und Netzwerkkonfigurationen in Ihrer Umgebung in Ihrer Verantwortung. Die Komplexität von Cloud-Diensten und die Geschwindigkeit der Änderungen können es schwierig machen, einen robusten und konsistenten Sicherheitsstatus aufrechtzuerhalten. Fehlkonfigurationen, ungepatchte Schwachstellen und mangelnde Transparenz sind häufige Angriffsvektoren, die zu Sicherheitsverletzungen führen können [2].

Der Azure Security Benchmark (ASB) ist eine Reihe spezieller Sicherheitsrichtlinien für Azure, die von Microsoft entwickelt wurden und bewährte Sicherheitspraktiken und Compliance-Empfehlungen von branchenführenden Frameworks wie CIS (Center for Internet Security) und NIST (National Institute of Standards and Technology) umfassen. Es bietet eine Grundlage für den Schutz Ihrer Cloud-Ressourcen und deckt Bereiche wie Netzwerksicherheit, Identitätsmanagement, Datenschutz, Schwachstellenmanagement und mehr ab. Microsoft Defender for Cloud (ehemals Azure Security Center) ist das wichtigste Tool zur Bewertung und Überwachung der ASB-Compliance [3].

Dieser praktische Leitfaden behandelt Voraussetzungen, ASB-Konzepte und die Verwendung von Microsoft Defender für Cloud zur Bewertung der ASB-Konformität, zur Interpretation von Sicherheitsempfehlungen, zur Behebung von Fehlern, zur Konfiguration von Ausnahmen und zur Überwachung des Sicherheitsfaktors. Es werden Schritt-für-Schritt-Anleitungen, praktische Beispiele und prägnante Erklärungen bereitgestellt, damit der Leser diese Funktionen implementieren, testen und validieren kann. Darüber hinaus werden Sicherheitstipps, Compliance-Prüfungen und Best Practices besprochen, um sicherzustellen, dass Ihre Sicherheitslage in Azure kontinuierlich, selbstständig, professionell und zuverlässig verbessert wird.

Warum ist der Azure Security Benchmark für Ihre Sicherheitslage von entscheidender Bedeutung?

  • Umfassende Richtlinien: Bietet detaillierte Sicherheitsempfehlungen für Azure-Dienste, die alle Aspekte der Cloud-Sicherheit abdecken.
  • Anpassung an Branchenstandards: Basierend auf weltweit anerkannten Sicherheits-Frameworks, um sicherzustellen, dass Ihre Sicherheitspraktiken den Best Practices entsprechen.
  • Kontinuierliche Bewertung: Integriert in Microsoft Defender for Cloud, bietet eine kontinuierliche Bewertung der ASB-Konformität und identifiziert Abweichungen.
  • Umsetzbare Empfehlungen: Bietet klare Empfehlungen und Abhilfemaßnahmen zur Behebung von Sicherheitsproblemen und zur Verbesserung des Status.
  • Secure Score Monitoring: Hilft bei der Visualisierung und Verfolgung des Fortschritts bei der Verbesserung der Sicherheit durch eine quantifizierbare Metrik (Secure Score).
  • Regulatorische Compliance: Erleichtert die Einhaltung verschiedener Compliance-Anforderungen durch die Zuordnung von ASB-Kontrollen zu regulatorischen Standards.

Voraussetzungen

Um Ihren Sicherheitsstatus mit Azure Security Benchmark zu verwalten, benötigen Sie die folgenden Elemente:

  1. Aktives Azure-Abonnement: Ein Azure-Abonnement mit bereitgestellten Ressourcen.
  2. Administratorzugriff: Ein Konto mit der Rolle „Eigentümer“, „Mitwirkender“ oder „Sicherheitsadministrator“ für das Abonnement oder die Ressourcengruppe.
  3. Microsoft Defender für Cloud aktiviert: Defender für Cloud muss in Ihrem Abonnement aktiviert sein, um Sicherheitsbewertungen und Empfehlungen bereitzustellen. Der kostenlose Plan bietet bereits ASB [4].

Schritt für Schritt: Verwalten des Sicherheitsstatus mit Azure Security Benchmark

Lassen Sie uns Security Center aktivieren, die ASB-Konformität bewerten und Empfehlungen zur Behebung abgeben.

1. Aktivieren des Microsoft Defender für Cloud- und Azure-SicherheitsbenchmarksASB ist automatisch im Security Center enthalten. Wenn Sie Defender für Cloud bereits aktiviert haben, wird ASB bereits evaluiert.

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Azure-Portal: „https://portal.azure.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Geben Sie im oberen Suchfeld „Microsoft Defender for Cloud“ ein und wählen Sie es aus den Ergebnissen aus.
  4. Überprüfen Sie auf der Übersichtsseite von Security Center, ob Ihr Abonnement integriert ist. Wenn nicht, befolgen Sie die Anweisungen zur Integration Ihres Abonnements.
  5. Wählen Sie im linken Navigationsbereich Umgebungseinstellungen aus.
  6. Wählen Sie die Signatur aus, die Sie schützen möchten.

  7. Stellen Sie auf der Seite „Defender-Pläne“ sicher, dass der Plan „Basic Cloud Security“ (einschließlich ASB) „Ein“ ist.

    • Erklärung: Der Basisplan „Defender for Cloud“ bietet eine kostenlose Bewertung des Sicherheitsstatus, einschließlich Empfehlungen zum Azure Security Benchmark. Bezahlte Pläne (z. B. Defender für Server, Defender für Speicher) bieten zusätzlichen Workload-Schutz (CWPP).

2. Bewerten der Konformität mit dem Azure Security Benchmark

Defender for Cloud zeigt die ASB-Konformität über das Dashboard zur Einhaltung gesetzlicher Vorschriften an.

  1. Wählen Sie im linken Navigationsbereich von Defender for Cloud Regulierungskonformität aus.
  2. Auf dem Dashboard wird „Azure Security Benchmark“ als einer der Compliance-Standards aufgeführt.

  3. Klicken Sie auf „Azure Security Benchmark“, um Ihre Compliance-Details anzuzeigen.

    • Erläuterung: Dieses Dashboard zeigt einen Überblick über Ihre ASB-Compliance, einschließlich der Anzahl der bestandenen Kontrollen, der Anzahl der Fehler und der Anzahl manueller Eingriffe. Sie können einen Drilldown in die Steuerelemente durchführen, um spezifische Empfehlungen anzuzeigen.

3. Interpretation und Behebung von Sicherheitsempfehlungen

Empfehlungen sind die Grundlage für die Verbesserung Ihrer Sicherheitslage.

  1. Wählen Sie im linken Navigationsbereich von Defender for Cloud Empfehlungen aus.
  2. Empfehlungen werden nach „Sicherheitskontrolle“ gruppiert. Sie können nach „Standard“ = „Azure Security Benchmark“ filtern.
  3. Suchen Sie eine Empfehlung mit „Status“ = „Ungesund“ (z. B. „Verwaltungsports sollten auf vertrauenswürdige IP-Bereiche beschränkt werden“).

  4. Klicken Sie auf die Empfehlung, um Details anzuzeigen:

    • Beschreibung: Erklärt das Sicherheitsproblem.
    • Behebungsschritte: Bietet schrittweise Anweisungen zur Behebung des Problems. Viele Empfehlungen bieten eine Ein-Klick-„Reparatur“-Option oder ein Automatisierungsskript.
    • Betroffene Ressourcen: Listet alle Ressourcen (VMs, Speicherkonten, Netzwerke usw.) auf, die nicht konform sind.
    • Compliance-Standards: Zeigt an, auf welche ASB-Kontrollen (und andere Standards) sich diese Empfehlung bezieht.

  5. Behebung einer Empfehlung (Beispiel: Verwaltungsports einschränken):

    • Für die Empfehlung „Verwaltungsports sollten auf vertrauenswürdige IP-Bereiche beschränkt werden“ klicken Sie auf die betroffenen Ressourcen.
    • Für jede Funktion können Sie auf „Fix“ klicken oder den manuellen Anweisungen folgen, um eine Netzwerksicherheitsgruppe (NSG) zu konfigurieren, die den Zugriff auf RDP/SSH-Ports nur auf bestimmte, vertrauenswürdige IPs beschränkt.

    • Beispiel für einen Azure CLI-Befehl zum Aktualisieren von NSG: „Bash az network nsg-Regelaktualisierung\ --resource-group \ --nsg-name \ --name \ --source-address-prefixes \ --destination-port-ranges 3389 # oder 22 „

    • Erklärung: Nach der Behebung wird Security Center die Ressource neu bewerten. Wenn die Fehlerbehebung erfolgreich ist, ändert sich der Status der Ressource in „Gesund“ und ihre Sicherheitsbewertung wird aktualisiert.

4. Ausnahmen für Empfehlungen konfigurieren

In manchen Fällen ist eine Empfehlung möglicherweise nicht auf eine bestimmte Ressource anwendbar, oder es gibt eine geschäftliche Rechtfertigung dafür, nicht sofort Abhilfe zu schaffen. Sie können eine Ausnahme erstellen.

  1. Klicken Sie auf der Detailseite einer Empfehlung auf „...“ (weitere Optionen) und wählen Sie „Ausnahme erstellen“.
  2. Ausnahme erstellen:
    • Geltungsbereich: Wählen Sie aus, ob die Ausnahme für das gesamte Abonnement, eine Gruppe von Ressourcen oder eine bestimmte Ressource gilt.
    • Grund: Wählen Sie den Grund für die Ausnahme aus (z. B. „Akzeptiertes Risiko“, „Gemindert durch Kontrolle Dritter“).
    • Verfallsdatum: Legen Sie ein Ablaufdatum für die Ausnahme fest.
    • Kommentar: Geben Sie eine detaillierte Begründung für die Ausnahme an.

  3. Klicken Sie auf Erstellen.

    • Erklärung: Ausnahmen sollten mit Vorsicht verwendet und dokumentiert werden. Sie entfernen die Empfehlung aus Ihrem sicheren Score, das zugrunde liegende Risiko besteht jedoch weiterhin. Überprüfen Sie Ausnahmen regelmäßig.

5. Überwachung des Secure Score

Der Sicherheitswert ist ein quantifizierbares Maß für Ihre Sicherheitslage.

  1. Wählen Sie im linken Navigationsbereich von Defender for Cloud Übersicht aus.
  2. „Secure Score“ wird gut sichtbar angezeigt und zeigt Ihren aktuellen Score und Verbesserungspotenzial an.

  3. Klicken Sie auf „Secure Score“, um Details anzuzeigen, einschließlich Empfehlungen, die am meisten zur Verbesserung des Scores beitragen.

    • Erläuterung: Die Sicherheitsbewertung wird basierend auf dem Prozentsatz der Sicherheitsempfehlungen berechnet, die Sie gelöst haben. Priorisieren Sie Empfehlungen, die einen größeren Einfluss auf Ihre Bewertung haben und für Ihre Umgebung am wichtigsten sind.

Validierung und Tests

Es ist wichtig zu überprüfen, ob die Abhilfemaßnahmen funktionieren und sich Ihre Sicherheitslage verbessert.

1. Überprüfung der Empfehlungsbehebung

  1. Szenario: Nachdem Sie eine Abhilfemaßnahme für eine Empfehlung angewendet haben (z. B. die Einschränkung von Verwaltungsports), warten Sie einige Minuten, bis Security Center die Ressource neu bewertet.
  2. Erwartete Aktion: Der Ressourcenstatus für diese Empfehlung sollte sich von „Ungesund“ in „Gesund“ ändern.
  3. Verifizierung:
    • Navigieren Sie zu Microsoft Defender for Cloud > Empfehlungen.
    • Filtern Sie nach der Empfehlung, die Sie behoben haben, und überprüfen Sie den Status der betroffenen Ressourcen.

2. Überwachung der Entwicklung des Secure Score

  1. Szenario: Nachdem Sie mehrere Empfehlungen umgesetzt haben, beobachten Sie, wie sich Ihr Sicherheitswert im Laufe der Zeit entwickelt.
  2. Erwartete Aktion: Ihr Sicherheitswert sollte steigen, was die Verbesserung Ihrer Sicherheitslage widerspiegelt.
  3. Verifizierung:
    • Navigieren Sie zu Microsoft Defender for Cloud > Übersicht und sehen Sie sich das Trenddiagramm „Sicherheitsbewertung“ an.

Sicherheitstipps und Best Practices

  • Kritische Empfehlungen priorisieren: Konzentrieren Sie sich zunächst auf die Empfehlungen, die den größten Einfluss auf Ihre Sicherheitsbewertung haben und die kritischsten Risiken für Ihre Umgebung ansprechen.
  • Automatische Behebung: Verwenden Sie „Korrektur“-Optionen oder Automatisierungsskripte (Azure Policy, Azure Automation) mit nur einem Klick, um Empfehlungen in großem Maßstab zu bereinigen.
  • Integration mit Azure Policy: Verwenden Sie Azure Policy, um die ASB-Konformität durchzusetzen und sicherzustellen, dass neue Ressourcen bereits konform bereitgestellt werden und dass vorhandene Ressourcen nicht von den Richtlinien abweichen.
  • Regelmäßige Überprüfung: Überprüfen Sie regelmäßig Sicherheitsempfehlungen, Ausnahmen und Sicherheitsbewertungen, um einen proaktiven Sicherheitsstatus aufrechtzuerhalten.
  • Teambewusstsein: Stellen Sie sicher, dass Entwicklungs- und Betriebsteams die ASB-Empfehlungen kennen und wissen, wie sich ihre Aktionen auf die Sicherheitslage auswirken.
  • Verteidigen Sie die Cloud mit kostenpflichtigen Plänen: Obwohl ASB kostenlos ist, sollten Sie erwägen, kostenpflichtige Defender für Cloud-Pläne (z. B. Defender für Server, Defender für Speicher, Defender für SQL) zu aktivieren, um Workload-Schutz (CWPP) und erweiterte Bedrohungserkennung zu erhalten.

Allgemeine Fehlerbehebung

  • Empfehlungen werden nach der Behebung nicht aktualisiert:
    • Es kann einige Zeit dauern, bis Security Center die Ressourcen neu bewertet und den Status aktualisiert. Warten Sie einige Minuten und aktualisieren Sie die Seite.
    • Stellen Sie sicher, dass die Korrektur korrekt angewendet wurde. Manchmal enthalten Sanierungsanweisungen spezifische Details, die genau befolgt werden müssen.
    • Überprüfen Sie die Azure-Aktivitätsprotokolle, um zu bestätigen, dass die Änderung auf die Ressource angewendet wurde.
  • Der sichere Wert erhöht sich nicht:
    • Der Sicherheitswert spiegelt den Prozentsatz der gelösten Empfehlungen wider. Wenn Sie nur einige wenige Empfehlungen mit geringen Auswirkungen umgesetzt haben, kann der Anstieg minimal sein.
    • Stellen Sie sicher, dass es keine neuen „ungesunden“ Empfehlungen gibt, die Ihre Abhilfemaßnahmen zunichte machen.
  • Ressourcen erscheinen nicht in Empfehlungen:
    • Stellen Sie sicher, dass Security Center für das Abonnement aktiviert ist, in dem sich die Ressourcen befinden.
    • Stellen Sie sicher, dass die Funktionen von Security Center und ASB unterstützt werden.
    • Es kann zu Verzögerungen bei der Entdeckung neuer Ressourcen kommenKurse über Defender for Cloud.
  • Fragen zu einer konkreten Empfehlung:
    • Weitere Details zu den einzelnen Kontrollen und Empfehlungen finden Sie in der offiziellen Azure Security Benchmark-Dokumentation auf Microsoft Learn.
    • Verwenden Sie die Option „Feedback“ im Azure-Portal, um Fragen oder Kommentare an Microsoft zu senden.

Fazit

Der Azure Security Benchmark ist in Verbindung mit Microsoft Defender for Cloud ein unverzichtbares Tool für jede Organisation, die einen robusten und konformen Sicherheitsstatus in Azure aufrechterhalten möchte. Durch die Bereitstellung eines klaren Rahmens für Best Practices und einer Plattform für kontinuierliche Bewertung und Behebung ermöglicht es Sicherheitsteams, Sicherheitsverstöße proaktiv zu identifizieren und zu beheben. Die Einführung und aktive Wartung von ASB ist entscheidend für den Schutz Ihrer Cloud-Ressourcen vor Cyber-Bedrohungen und die Gewährleistung der Integrität Ihres Betriebs. Mit diesem praktischen Leitfaden sind Sicherheitsexperten und IT-Administratoren bestens gerüstet, um den Sicherheitsstatus ihrer Azure-Umgebungen autonom, professionell und zuverlässig zu konfigurieren, zu validieren und zu verwalten.

Referenzen:

[1] Microsoft Learn. Überblick über Azure Security Benchmark v3. Verfügbar unter: https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2] Microsoft Learn. Security Control v3: Posture- und Schwachstellenmanagement. Verfügbar unter: https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] Microsoft Learn. Was ist Microsoft Defender für Cloud?. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4] Microsoft Learn. Verbessern Sie die Einhaltung gesetzlicher Vorschriften – Azure. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5] Microsoft Learn. Defender for Cloud-Sicherheitsbewertung. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] Microsoft Learn. Empfehlungen zur Behebung – Microsoft Defender für Cloud. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7] Microsoft Learn. Sicherheitsempfehlungen lesen – Azure. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations