Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sicherheit ist in der heutigen Cloudumgebung von entscheidender Bedeutung. Cyberbedrohungen entwickeln sich ständig weiter, und der Schutz Ihrer Daten, Anwendungen und Infrastruktur erfordert einen umfassenden, mehrschichtigen Ansatz. Wir wissen, dass Sicherheit in der Cloud an erster Stelle steht und wie wichtig es ist, dass Sie präzise und zeitnahe Informationen zur Azure-Sicherheit finden.
Dieser Artikel bietet einen umfassenden Überblick über die Sicherheitsfeatures von Azure. Eine End-to-End-Ansicht der Azure-Sicherheit, die nach Schutz-, Erkennungs- und Reaktionsfunktionen organisiert ist, finden Sie unter End-to-End-Sicherheit in Azure.
Azures Sicherheitsansatz zur Verteidigung in tiefem Detail
Azure verwendet eine umfassende Verteidigungsstrategie, die mehrere Sicherheitsschutzebenen über den gesamten Stapel hinweg bereitstellt – von physischen Rechenzentren bis hin zu Compute, Speicher, Netzwerk, Anwendungen und Identität. Durch diesen mehrschichtigen Ansatz wird sichergestellt, dass zusätzliche Ebenen ihre Ressourcen weiterhin schützen, wenn eine Ebene kompromittiert wird.
Die Infrastruktur von Azure wird von Grund auf sorgfältig gestaltet und umfasst alles von physischen Einrichtungen bis hin zu Anwendungen, um Millionen von Kunden gleichzeitig zu hosten. Mit dieser robusten Grundlage können Unternehmen ihre Sicherheitsanforderungen zuverlässig erfüllen. Informationen zu den Schutzmaßnahmen von Microsoft für die eigentliche Azure-Plattform finden Sie unter Sicherheit der Azure-Infrastruktur. Ausführliche Informationen zur Physischen Rechenzentrumssicherheit finden Sie unter Azure physical security.
Azure ist eine öffentliche Clouddienstplattform, die eine breite Palette an Betriebssystemen, Programmiersprachen, Frameworks, Tools, Datenbanken und Geräten unterstützt. Es kann Linux-Container mit Docker-Integration ausführen, Apps mit JavaScript, Python, .NET, PHP, Java und Node.js sowie Back-Ends für iOS-, Android- und Windows-Geräte erstellen. Die öffentlichen Azure-Clouddienste unterstützen dieselben Technologien, die bereits von Millionen von Entwicklern und IT-Profis zuverlässig eingesetzt werden.
Integrierte Plattformsicherheit
Azure bietet standardmäßigen Sicherheitsschutz, der in die Plattform integriert ist, um Ihre Ressourcen ab dem Moment zu schützen, in dem sie bereitgestellt werden. Umfassende Informationen zu den Plattformsicherheitsfunktionen von Azure finden Sie in der Übersicht über die Azure-Plattformsicherheit.
- Netzwerkschutz: Azure DDoS Protection schützt Ihre Ressourcen automatisch vor verteilten Denial-of-Service-Angriffen
- Verschlüsselung standardmäßig: Ruhende Datenverschlüsselung ist standardmäßig für Azure Storage, SQL-Datenbank und viele andere Dienste aktiviert.
- Identitätssicherheit: Microsoft Entra ID bietet sichere Authentifizierung und Autorisierung für alle Azure-Dienste.
- Bedrohungserkennung: Integrierte Bedrohungserkennung überwacht verdächtige Aktivitäten in Ihren Azure-Ressourcen
- Compliance: Azure verwaltet das größte Complianceportfolio in der Branche und hilft Ihnen dabei, regulatorische Anforderungen zu erfüllen.
Diese grundlegenden Sicherheitskontrollen funktionieren kontinuierlich im Hintergrund, um Ihre Cloudinfrastruktur zu schützen, ohne dass zusätzliche Konfiguration für grundlegenden Schutz erforderlich ist.
Gemeinsame Verantwortung in der Cloud
Azure bietet zwar eine robuste Plattformsicherheit, die Sicherheit in der Cloud ist jedoch eine gemeinsame Verantwortung zwischen Microsoft und unseren Kunden. Die Aufteilung der Zuständigkeiten hängt von Ihrem Bereitstellungsmodell (IaaS, PaaS oder SaaS) ab:
- Verantwortung von Microsoft: Azure sichert die zugrunde liegende Infrastruktur, einschließlich physischer Rechenzentren, Hardware, Netzwerkinfrastruktur und hostbetriebssystem
- Ihre Verantwortung: Sie sind für die Sicherung Ihrer Daten, Anwendungen, Identitäten und Zugriffsverwaltung verantwortlich.
Jede Workload und Anwendung ist unterschiedlich, mit eindeutigen Sicherheitsanforderungen basierend auf Branchenbestimmungen, Datenempfindlichkeit und geschäftlichen Anforderungen. Hier kommen die erweiterten Sicherheitsdienste von Azure ins Spiel. Weitere Informationen zum Modell der gemeinsamen Verantwortung finden Sie unter "Gemeinsame Verantwortung" in der Cloud.
Note
Der Hauptfokus in diesem Dokument richtet sich auf Steuerelemente für Kunden, mit denen Sie die Sicherheit für Ihre Anwendungen und Dienste anpassen und erhöhen können.
Erweiterte Sicherheitsdienste für jede Workload
Um Ihre einzigartigen Sicherheitsanforderungen zu erfüllen, bietet Azure eine umfassende Suite erweiterter Sicherheitsdienste, die Sie für Ihre spezifischen Anforderungen konfigurieren und anpassen können. Diese Dienste sind in sechs Funktionsbereichen organisiert: Operations, Applications, Storage, Networking, Compute und Identity. Einen umfassenden Katalog der Sicherheitsdienste und -technologien finden Sie unter Azure-Sicherheitsdienste und -technologien.
Darüber hinaus bietet Azure eine vielzahl konfigurierbarer Sicherheitsoptionen und die Möglichkeit, sie zu steuern, damit Sie die Sicherheit anpassen können, um die eindeutigen Anforderungen der Bereitstellungen Ihrer Organisation zu erfüllen. Dieses Dokument hilft Ihnen dabei zu verstehen, wie Ihnen die Azure-Sicherheitsfunktionen dabei helfen können, diese Anforderungen zu erfüllen.
Eine strukturierte Ansicht der Azure-Sicherheitskontrollen und -Basispläne finden Sie im Microsoft Cloud Security Benchmark, der umfassende Sicherheitsleitfaden für Azure-Dienste bereitstellt. Informationen zu den technischen Sicherheitsfunktionen von Azure finden Sie unter technische Azure-Sicherheitsfunktionen.
Computersicherheit
Die Sicherung Ihrer virtuellen Computer und Computeressourcen ist für den Schutz Ihrer Workloads in Azure von grundlegender Bedeutung. Azure bietet mehrere Ebenen von Computesicherheit, von hardwarebasierten Schutzmaßnahmen bis hin zur softwarebasierten Bedrohungserkennung. Ausführliche Sicherheitsinformationen für virtuelle Computer finden Sie in der Sicherheitsübersicht für virtuelle Azure-Computer.
Vertrauenswürdiger Start
Der vertrauenswürdige Start ist die Standardeinstellung für neu erstellte Azure-VMs und VM-Skalierungssätze der Generation 2. Der vertrauenswürdige Start schützt vor erweiterten und beständigen Angriffstechniken, einschließlich Boot Kits, Rootkits und Schadsoftware auf Kernelebene.
Der vertrauenswürdige Start bietet Folgendes:
- Sicherer Start: Schützt vor der Installation von schadsoftwarebasierten Rootkits und Startkits, indem sichergestellt wird, dass nur signierte Betriebssysteme und Treiber starten können
- vTPM (virtual Trusted Platform Module): Ein dedizierter sicherer Tresor für Schlüssel und Messungen, die die Nachweis- und Startintegritätsüberprüfung ermöglichen
- Startintegritätsüberwachung: Nutzt die Überprüfung über Microsoft Defender für Cloud, um die Integrität der Startkette zu überprüfen und bei Fehlern Warnungen auszugeben.
Der vertrauenswürdige Start kann auf vorhandenen VMs und VM-Skalierungssätzen aktiviert werden.
Azure Confidential Computing
Azure Confidential Computing stellt den letzten, fehlenden Bestandteil beim Datenschutzvorhaben dar. Damit können Sie Ihre Daten immer verschlüsselt halten. Dabei ist es egal, ob sie ruhend sind, über das Netzwerk übertragen werden oder schon im Arbeitsspeicher geladen sind und genutzt werden. Darüber hinaus können Sie durch die Möglichkeit des Remotenachweiss kryptografisch überprüfen, ob der virtuelle Computer, den Sie bereitstellen, sicher gestartet und ordnungsgemäß konfiguriert ist, bevor Sie Ihre Daten entsperren.
Das Spektrum der Optionen reicht von der Aktivierung von "Lift and Shift"-Szenarien vorhandener Anwendungen bis hin zur vollständigen Kontrolle der Sicherheitsfeatures. Für Infrastruktur als ein Dienst (IaaS) können Sie Folgendes verwenden:
- Vertrauliche virtuelle Computer, die von AMD SEV-SNP unterstützt werden: Hardwarebasierte Speicherverschlüsselung mit bis zu 256 GB verschlüsseltem Arbeitsspeicher
- Vertrauliche VMs mit Intel TDX: Intel Trust Domain Extensions bieten verbesserte Leistung und Sicherheit
- Vertrauliche VMs mit NVIDIA H100 GPUs: GPU-beschleunigtes vertrauliches Computing für AI/ML-Workloads
- Vertrauliche Anwendungsenklaven mit Intel SGX: Isolation auf Anwendungsebene für vertrauliche Code und Daten
Für Platform as a Service (PaaS) bietet Azure mehrere containerbasierte vertrauliche Computing-Optionen, einschließlich Integrationen mit Azure Kubernetes Service (AKS).
Antischadsoftware und Antivirus
Mit Azure IaaS können Sie zum Schützen der virtuellen Computer vor Dateien mit schädlichem Inhalt, Adware und anderen Bedrohungen Antischadsoftware von Anbietern wie Microsoft, Symantec, Trend Micro, McAfee und Kaspersky verwenden. Microsoft Antischadsoftware für virtuelle Azure-Computer ist eine Schutzfunktion, mit der Viren, Spyware und andere Schadsoftware identifiziert und entfernt werden können. Microsoft Antimalware gibt konfigurierbare Warnungen aus, wenn bekannte schädliche oder unerwünschte Software versucht, sich selbst auf Ihren Azure-Systemen zu installieren oder dort auszuführen. Microsoft-Antischadsoftware kann auch mit Microsoft Defender für Cloud bereitgestellt werden.
Note
Berücksichtigen Sie für modernen Schutz Microsoft Defender für Server , der erweiterten Bedrohungsschutz bietet, einschließlich Endpunkterkennung und -reaktion (EDR) durch Integration in Microsoft Defender für Endpunkt.
Hardwaresicherheitsmodul
Verschlüsselung und Authentifizierung verbessern die Sicherheit nur dann, wenn die Schlüssel selbst geschützt sind. Sie können die Verwaltung und Sicherheit Ihrer geschäftskritischen geheimen Daten und Schlüssel vereinfachen, indem Sie diese in Azure Key Vault speichern. Key Vault bietet die Möglichkeit, Ihre Schlüssel in Hardwaresicherheitsmodulen (HSMs) zu speichern, die für FIPS 140-3 Level 3-Standards zertifiziert sind. Sie können Ihre SQL Server-Verschlüsselungsschlüssel für Sicherungen oder transparente Datenverschlüsselung gemeinsam mit den Schlüsseln oder geheimen Daten Ihrer Anwendungen in Key Vault speichern. Die Berechtigungen für und der Zugriff auf diese geschützten Elemente werden über Microsoft Entra ID verwaltet.
Umfassende Informationen zu schlüsselverwaltungsoptionen, einschließlich Azure Key Vault, Managed HSM und Payment HSM, finden Sie unter Key Management in Azure.
Sicherung virtueller Computer
Azure Backup ist eine Lösung, die Ihre Anwendungsdaten mit Nullkapitalinvestitionen und minimalen Betriebskosten schützt. Anwendungsfehler können Ihre Daten beschädigen, und menschliche Fehler können Bugs in Ihren Anwendungen verursachen, die zu Sicherheitsproblemen führen können. Mit Azure Backup sind Ihre virtuellen Windows- und Linux-Computer geschützt.
Azure Site Recovery
Ein wichtiger Teil der BCDR-Strategie (Geschäftskontinuität/Notfallwiederherstellung) Ihrer Organisation ist die Ermittlung, wie geschäftliche Workloads und Apps verfügbar gehalten werden können, wenn geplante und ungeplante Ausfälle auftreten. Azure Site Recovery unterstützt die Orchestrierung von Replikation, Failover und Wiederherstellung von Workloads und Apps, damit diese Komponenten über einen sekundären Standort zur Verfügung stehen, wenn der primäre Standort ausfällt.
SQL VM TDE
Transparent Data Encryption (TDE) und Column Level Encryption (CLE) sind SQL Server-Verschlüsselungsfeatures. Bei dieser Art der Verschlüsselung müssen Kunden die kryptografischen Schlüssel verwalten und speichern, die Sie für die Verschlüsselung verwenden.
Der Azure-Schlüsseltresor-Dienst (Azure Key Vault, AKV) ist dafür ausgelegt, die Sicherheit und Verwaltung dieser Schlüssel an einem sicheren und hoch verfügbaren Speicherort zu verbessern. Mit dem SQL Server-Connector kann SQL Server diese Schlüssel aus Azure Key Vault verwenden.
Wenn Sie SQL Server mit lokalen Computern ausführen, können Sie Schritte zum Zugreifen auf Azure Key Vault von Ihrer lokalen SQL Server-Instanz ausführen. Sie können für SQL Server auf virtuellen Azure-Computern aber Zeit sparen, indem Sie die Funktion für die Azure-Schlüsseltresor-Integration verwenden. Mit einigen Azure PowerShell-Cmdlets zum Aktivieren dieser Funktion können Sie die Konfiguration automatisieren, die ein virtueller SQL-Computer zum Zugreifen auf Ihren Schlüsseltresor benötigt.
Eine umfassende Liste der bewährten Methoden für die Datenbanksicherheit finden Sie in der Prüfliste zur Azure-Datenbanksicherheit.
Datenträgerverschlüsselung für virtuelle Computer
Von Bedeutung
Azure Disk Encryption for Virtual Machines and Virtual Machine Scale Sets wird am 15. September 2028 eingestellt. Neue Kunden sollten die Verschlüsselung auf dem Host für alle neuen virtuellen Computer verwenden. Bestehende Kunden sollten planen, ihre aktuellen ADE-fähigen VMs vor dem Ausstiegsdatum zur Verschlüsselung beim Host zu migrieren, um Dienstunterbrechungen zu vermeiden – siehe Migrieren von Azure Disk Encryption zu Verschlüsselung beim Host.
Für die Verschlüsselung moderner virtueller Computer bietet Azure Folgendes:
- Verschlüsselung auf Host: Bietet End-to-End-Verschlüsselung für VM-Daten, einschließlich temporärer Datenträger und Betriebssystem-/Datenträgercaches
- Verschlüsselung vertraulicher Datenträger: Verfügbar mit vertraulichen VMs für hardwarebasierte Verschlüsselung
- Serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln: Verwalten Ihrer eigenen Verschlüsselungsschlüssel über Azure Key Vault
Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.
Virtuelle Netzwerke
Virtuelle Computer benötigen Netzwerkkonnektivität. Azure erfordert von einem virtuellen Computer eine Verbindung mit einem virtuellen Azure-Netzwerk, damit die Konnektivitätsanforderung unterstützt wird. Ein virtuelles Azure-Netzwerk ist ein logisches Konstrukt, das auf dem physischen Azure-Netzwerkfabric basiert. Jedes logische Azure Virtual Network ist von allen anderen virtuellen Azure-Netzwerken isoliert. Mit dieser Isolierung wird sichergestellt, dass der Netzwerkdatenverkehr in Ihren Bereitstellungen nicht für andere Microsoft Azure-Kunden zugänglich ist.
Patch-Updates
Patch-Updates bilden die Grundlage zum Ermitteln und Beheben potenzieller Probleme und zur Vereinfachung des Verwaltungsprozesses von Softwareupdates. Beides wird dadurch erreicht, dass einerseits die Anzahl von Softwareupdates verringert wird, die Sie in Ihrem Unternehmen bereitstellen müssen, und andererseits die Möglichkeiten verbessert werden, die Einhaltung der Vorgaben zu überwachen.
Verwaltung von Sicherheitsrichtlinien und Berichtserstellung
Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen und verschafft Ihnen mehr Transparenz und somit eine bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements, hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum an Sicherheitslösungen verwendet werden.
Anwendungssicherheit
Die Anwendungssicherheit konzentriert sich auf den Schutz Ihrer Anwendungen vor Bedrohungen während des gesamten Lebenszyklus – von der Entwicklung bis hin zur Bereitstellung und Laufzeit. Azure bietet umfassende Tools für sichere Entwicklung, Tests und Schutz von Anwendungen. Anleitungen zur sicheren Anwendungsentwicklung finden Sie unter Entwickeln sicherer Anwendungen in Azure. Bewährte Methoden für paaS-spezifische Sicherheit finden Sie unter Sichern von PaaS-Bereitstellungen. Informationen zur IaaS-Bereitstellungssicherheit finden Sie unter Bewährte Methoden für IaaS-Workloads in Azure.
Penetrationstests
Wir führen keine Penetrationstests Ihrer Anwendung für Sie durch, aber wir verstehen, dass Sie möchten und müssen Tests für Ihre eigenen Anwendungen durchführen. Obwohl Microsoft nicht mehr über Penetrationstestaktivitäten benachrichtigt werden muss, müssen Kunden weiterhin die Einsatzregeln für Penetrationstests für die Microsoft Cloud einhalten.
Web Application Firewall
Die Webanwendungsfirewall (WAF) in Azure Application Gateway bietet Schutz für Webanwendungen vor gängigen webbasierten Angriffen wie SQL-Einfügung, websiteübergreifendes Skripting und Sitzungs-Hijacking. Es ist vorkonfiguriert, um die 10 wichtigsten Sicherheitsanfälligkeiten zu verteidigen, die vom Open Web Application Security Project (OWASP) identifiziert wurden.
Authentifizierung und Autorisierung in Azure App Service
Mithilfe des Authentifizierungs-/Autorisierungsfeatures von App Service kann Ihre Anwendung Benutzer anmelden, sodass Sie keine Codeänderungen für das Back-End der App vornehmen müssen. Es stellt eine einfache Möglichkeit zum Schutz Ihrer Anwendung und für die Arbeit mit benutzerspezifischen Daten bereit.
Mehrstufige Sicherheitsarchitektur
Da App Service-Umgebungen eine in einem Azure Virtual Network bereitgestellte isolierte Laufzeitumgebung bieten, können Entwickler eine mehrstufige Sicherheitsarchitektur erstellen, in der sie abgestuften Netzwerkzugriff für jede Anwendungsschicht gewähren können. Üblicherweise sollte der Zugriff auf API-Back-Ends nicht über den allgemeinen Internetzugriff möglich sein, und APIs sollten nur von Upstream-Web-Apps aufgerufen werden können. Um den öffentlichen Zugriff auf API-Anwendungen zu beschränken, können Netzwerksicherheitsgruppen (Network Security Groups, NSGs) in Azure Virtual Network-Subnetzen mit App Service-Umgebungen verwendet werden.
App Service-Web-Apps bieten robuste Diagnosefunktionen zum Erfassen von Protokollen sowohl vom Webserver als auch von der Webanwendung. Diese Diagnosefunktionen sind in Webserverdiagnose und Anwendungsdiagnose kategorisiert. Die Webserverdiagnose bietet erhebliche Fortschritte bei der Diagnose und Problembehandlung von Sites und Anwendungen.
Das erste neue Feature sind Zustandsinformationen in Echtzeit zu Anwendungspools, Workerprozessen, Websites, Anwendungsdomänen und aktiven Anforderungen. Der zweite Vorteil sind ausführliche Ablaufverfolgungsereignisse, die eine Anforderung während des vollständigen Prozesses (Anforderung und Antwort) nachverfolgen.
Um die Sammlung dieser Ablaufverfolgungsereignisse zu ermöglichen, kann IIS 7 so konfiguriert werden, dass automatisch umfassende Ablaufverfolgungsprotokolle im XML-Format für bestimmte Anforderungen erfasst werden. Die Sammlung kann auf der verstrichenen Zeit oder auf Fehlerantwortcodes basieren.
Speichersicherheit
Die Speichersicherheit ist unerlässlich für den Schutz Ihrer Daten im Ruhezustand und während der Übertragung. Azure bietet mehrere Verschlüsselungs-, Zugriffssteuerungs- und Überwachungsfunktionen, um sicherzustellen, dass Ihre Daten sicher bleiben. Ausführliche Informationen zur Datenverschlüsselung finden Sie in der Azure-Verschlüsselungsübersicht. Informationen zu Schlüsselverwaltungsoptionen finden Sie unter Schlüsselverwaltung in Azure. Bewährte Methoden für die Datenverschlüsselung finden Sie unter Bewährte Methoden für Azure-Datensicherheit und Verschlüsselung.
Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC)
Sie können Ihr Speicherkonto mit der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) sichern. Das Einschränken des Zugriffs auf der Grundlage der Sicherheitsprinzipien Need to know und Least Privilege ist für Organisationen unerlässlich, die Sicherheitsrichtlinien für den Datenzugriff erzwingen möchten. Diese Zugriffsrechte werden gewährt, indem Gruppen und Anwendungen die jeweils geeignete Azure-Rolle für einen bestimmten Bereich zugewiesen wird. Sie können in Azure integrierte Rollen (z. B. „Speicherkontomitwirkender“) verwenden, um Benutzern Berechtigungen zuzuweisen. Zugriff auf die Speicherschlüssel für ein Speicherkonto mit dem Azure Resource Manager-Modell kann über rollenbasierte Azure RBAC gesteuert werden.
Shared Access Signature (SAS)
Shared Access Signatures (SAS) ermöglichen den delegierten Zugriff auf Ressourcen in Ihrem Speicherkonto. Eine SAS bietet die Möglichkeit, einem Client für einen bestimmten Zeitraum spezielle eingeschränkte Berechtigungen für Objekte in Ihrem Speicherkonto zu erteilen. Dazu müssen Sie nicht Ihre Kontozugriffsschlüssel freigeben.
Verschlüsselung während der Übertragung
Verschlüsselung während der Übertragung ist ein Mechanismus zum Schutz der Daten bei der Übertragung über Netzwerke hinweg. Mit Azure Storage können Sie Daten mit folgenden Verfahren schützen:
Verschlüsselung auf Transportebene, z. B. HTTPS beim Übertragen von Daten in oder aus Azure Storage.
Drahtverschlüsselung, z. B. SMB 3.0-Verschlüsselung für Azure-Dateifreigaben.
Clientseitige Verschlüsselung, um die Daten vor der Übertragung in den Speicher zu verschlüsseln und nach der Übertragung aus dem Speicher zu entschlüsseln.
Verschlüsselung ruhender Daten
Für viele Organisationen ist die Verschlüsselung von ruhenden Daten ein obligatorischer Schritt in Richtung Datenschutz, Compliance und Datenhoheit. Für die Verschlüsselung ruhender Daten stehen drei Azure-Speichersicherheitsfeatures zur Verfügung:
Storage Service Encryption können Sie anfordern, dass der Speicherdienst die Daten beim Schreiben in Azure Storage automatisch verschlüsselt.
Clientseitige Verschlüsselung bietet auch das Feature der ruhenden Verschlüsselung.
Azure Disk Encryption für Linux-VMs and Azure Disk Encryption für Windows-VMs ermöglichen Ihnen, die Betriebssystemdatenträger und Datendatenträger zu verschlüsseln, die von einem virtuellen IaaS-Computer verwendet werden.
Storage Analytics
Die Azure-Speicheranalyse führt die Protokollierung aus und stellt Metrikdaten für ein Speicherkonto bereit. Mit diesen Daten können Sie Anforderungen verfolgen, Verwendungstrends analysieren und Probleme mit dem Speicherkonto diagnostizieren. Storage Analytics protokolliert ausführliche Informationen zu erfolgreichen und nicht erfolgreichen Anforderungen an einen Speicherdienst. Anhand dieser Informationen können einzelne Anforderungen überwacht und Probleme mit einem Speicherdienst untersucht werden. Anforderungen werden auf Grundlage der besten Leistung protokolliert. Die folgenden Typen authentifizierter Anforderungen werden protokolliert:
- Erfolgreiche Anfragen.
- Fehlerhafte Anforderungen, einschließlich Timeout-, Drosselungs-, Netzwerk- und Autorisierungsfehler sowie anderer Fehler
- Anforderungen mithilfe einer SAS (Shared Access Signature), einschließlich fehlerhafter und erfolgreicher Anforderungen
- Anforderungen von Analysedaten
Aktivieren browserbasierter Clients über CORS
Cross-Origin Resource Sharing (CORS) ist ein Mechanismus, der es Domänen ermöglicht, einander die Berechtigung für den Zugriff auf die Ressourcen der anderen zu erteilen. Der Benutzer-Agent sendet zusätzliche Header, um sicherzustellen, dass der von einer bestimmten Domäne geladene JavaScript-Code auf Ressourcen zugreifen kann, die sich in einer anderen Domäne befinden. Die letztere Domäne antwortet dann mit zusätzlichen Headern, die der ursprünglichen Domäne den Zugriff auf ihre Ressourcen gestattet oder verweigert.
Die Azure-Speicherdienste unterstützten jetzt CORS, damit nach dem Festlegen der CORS-Regeln für den Dienst eine ordnungsgemäß authentifizierte Anforderung ausgewertet wird, die von einer anderen Domäne an den Dienst gesendet wurde, um zu ermitteln, ob die Anforderung gemäß den von Ihnen festgelegten Regeln zulässig ist.
Netzwerksicherheit
Die Netzwerksicherheit steuert, wie Datenverkehr zu und von Ihren Azure-Ressourcen fließt. Azure bietet einen umfassenden Satz von Netzwerksicherheitsdiensten, von der grundlegenden Firewall bis hin zum erweiterten Bedrohungsschutz und dem globalen Lastenausgleich. Umfassende Informationen zur Netzwerksicherheit finden Sie in der Übersicht über die Azure-Netzwerksicherheit. Bewährte Methoden für die Netzwerksicherheit finden Sie unter bewährte Methoden für die Azure-Netzwerksicherheit.
Kontrollen der Vermittlungsschicht
Netzwerkzugriffssteuerung bedeutet, die Konnektivität zu oder ausgehend von bestimmten Geräten oder Subnetzen zu begrenzen. Dies stellt den Kern der Netzwerksicherheit dar. Das Ziel der Netzwerkzugriffssteuerung ist sicherzustellen, dass Ihre virtuellen Computer und Dienste nur denjenigen Benutzern und Geräten zugänglich sind, denen Sie den Zugriff auch erlauben möchten.
Netzwerksicherheitsgruppen
Eine Netzwerksicherheitsgruppe (NSG) ist eine einfache Firewall, die zustandsbehaftete Pakete filtert und die Zugriffssteuerung auf Grundlage eines 5-Tupels ermöglicht. NSGs bieten weder eine Inspektion auf Anwendungsebene noch authentifizierte Zugriffssteuerungen. Sie können dazu verwendet werden, um den Datenverkehr zu steuern, der zwischen Subnetzen in einem Azure Virtual Network und zwischen einem Azure Virtual Network und dem Internet bewegt wird.
Azure Firewall
Azure Firewall ist ein cloudeigener und intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre Cloudworkloads bietet, die in Azure ausgeführt werden. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Sie ermöglicht die Untersuchung von Ost-West- und Nord-Süd-Datenverkehr.
Azure Firewall wird in drei SKUs angeboten: Basic, Standard und Premium:
- Azure Firewall Basic – Entwickelt für kleine und mittelständische Unternehmen, die einen wesentlichen Schutz zu einem erschwinglichen Preis bieten
- Azure Firewall Standard – Bietet L3-L7 Filterung, Bedrohungserkennungsfeeds von Microsoft Cyber Security und kann auf 30 GBit/s skaliert werden.
-
Azure Firewall Premium – Erweiterter Bedrohungsschutz für streng vertrauliche und regulierte Umgebungen mit:
- TLS-Inspektion: Entschlüsselt ausgehenden Datenverkehr, verarbeitet ihn für Bedrohungen und verschlüsselt dann vor dem Senden an das Ziel erneut.
- IDPS (Intrusion Detection and Prevention System): Signaturbasierte IDPS mit mehr als 67.000 Signaturen in mehr als 50 Kategorien, aktualisiert mit 20-40 neuen Regeln täglich
- URL-Filterung: Erweitert die FQDN-Filterung, um den gesamten URL-Pfad zu berücksichtigen.
- Erweiterte Webkategorien: Erweiterte Kategorisierung basierend auf vollständigen URLs für HTTP- und HTTPS-Datenverkehr
- Verbesserte Leistung: Skaliert bis zu 100 Gbit/s mit 10 Gbit/s Unterstützung für hohen Flow
- PCI DSS Compliance: Erfüllt die Anforderungen an die Datensicherheit der Payment Card Industry
Azure Firewall Premium ist wichtig für den Schutz vor Ransomware, da sie die Von Ransomware verwendete Konnektivität (Command and Control, C&C) erkennen und blockieren kann, um Verschlüsselungsschlüssel abzurufen. Erfahren Sie mehr über den Ransomware-Schutz mit der Azure Firewall.
Azure DDoS Protection
Azure DDoS Protection bietet in Kombination mit bewährten Anwendungsentwurfsmethoden erweiterte Features zum Schutz vor DDoS-Angriffen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. Das Aktivieren des Schutzes ist bei neuen und vorhandenen virtuellen Netzwerken einfach und erfordert keine Änderungen an Ihren Anwendungen oder Ressourcen.
Azure DDoS Protection bietet zwei Dienstebenen: DDoS-Netzwerkschutz und DDoS-IP-Schutz.
DDoS-Netzwerkschutz – Bietet erweiterte Features zum Schutz vor DDoS-Angriffen (Distributed Denial of Service). Er arbeitet auf den Netzwerkschichten 3 und 4 und umfasst erweiterte Features wie die Unterstützung für DDoS Rapid Response, Kostenschutz und Rabatte auf Web Application Firewall (WAF).
DDoS-IP-Schutz – Ist ein Modell mit Bezahlung pro geschützter IP-Adresse. Es enthält dieselben wichtigen Engineeringfeatures wie DDoS-Netzwerkschutz, bietet aber keine zusätzlichen Dienste wie DDoS Rapid Response-Support, Kostenschutz und WAF-Rabatte.
Routensteuerung und Tunnelerzwingung
Die Steuerung des Routingverhaltens in Ihren virtuellen Azure-Netzwerken ist eine entscheidende Funktion in den Bereichen Netzwerksicherheit und Zugriffssteuerung. Wenn Sie z. B. sicherstellen möchten, dass der gesamte Datenverkehr zu und ausgehend von Ihrem Azure Virtual Network Ihr virtuelles Sicherheitsgerät passiert, müssen Sie das Routingverhalten steuern und anpassen können. Sie erreichen dies über die Konfiguration der benutzerdefinierten Routen in Azure.
mitUser-Defined Routen können Sie eingehende und ausgehende Pfade für den Datenverkehr anpassen, der in und aus einzelnen virtuellen Computern oder Subnetzen wechselt, um die sicherste Route zu gewährleisten. Erzwungenes Tunneln ist ein Mechanismus, mit dem Sie sicherstellen können, dass Ihre Dienste keine Verbindung mit Geräten im Internet initiieren dürfen.
Dieser Mechanismus unterscheidet sich von der Möglichkeit zur Annahme eingehender Verbindungen und der Antwort auf diese. Front-End-Webserver müssen auf Anforderungen von Internethosts antworten. Aus dem Internet stammender, auf diesen Webservern eingehender Datenverkehr wird daher erlaubt und die Webserver dürfen antworten.
Die Tunnelerzwingung wird häufig verwendet, um für ausgehenden Datenverkehr für das Internet zu erzwingen, dass dieser lokale Sicherheitsproxys und Firewalls durchläuft.
Appliances für die Sicherheit des virtuellen Netzwerks
Während Netzwerksicherheitsgruppen, User-Defined Routen und erzwungene Tunneling Ihnen eine Sicherheitsstufe auf den Netzwerk- und Transportebenen des OSI-Modells bieten, kann es vorkommen, dass Sie die Sicherheit auf höheren Ebenen des Stapels aktivieren möchten. Sie können mit einer Azure-Partnerlösung für Appliances für die Sicherheit des Netzwerks auf diese erweiterten Netzwerksicherheitsfeatures zugreifen. Sie finden die aktuellsten Azure-Partnernetzwerksicherheitslösungen, indem Sie den Azure Marketplace besuchen und nach Sicherheit und Netzwerksicherheit suchen.
Virtuelles Azure-Netzwerk
Ein virtuelles Azure-Netzwerk (VNet) ist eine Darstellung Ihres eigenen Netzwerks in der Cloud. Dies ist eine logische Isolierung der Azure-Netzwerkfabric für Ihr Abonnement. Sie können die IP-Adressblöcke, DNS-Einstellungen, Sicherheitsrichtlinien und Routentabellen in diesem Netzwerk vollständig steuern. Sie können Ihr VNet in Subnetze segmentieren und virtuelle Azure IaaS-Computer (VMs) in Azure Virtual Networks platzieren.
Darüber hinaus können Sie das virtuelle Netzwerk über eine der in Azure verfügbaren Konnektivitätsoptionen mit Ihrem lokalen Netzwerk verbinden. Im Wesentlichen können Sie Ihr Netzwerk mit vollständiger Kontrolle über IP-Adressblöcke auf Azure ausdehnen und von der Azure-Skalierung auf Unternehmensebene profitieren.
Azure-Netzwerke unterstützen verschiedene Szenarien für den sicheren Remotezugriff. Dazu zählen:
Verbinden einzelner Arbeitsstationen mit einem Azure Virtual Network
Verbinden eines lokalen Netzwerks mit einem Azure Virtual Network mithilfe eines VPN
Azure Virtual Network Manager
Azure Virtual Network Manager bietet eine zentrale Lösung zum Verwalten und Sichern Ihrer virtuellen Netzwerke im großen Maßstab. Es verwendet Sicherheitsadministratorregeln , um Sicherheitsrichtlinien in Ihrer gesamten Organisation zentral zu definieren und zu erzwingen. Sicherheitsadministratorregeln haben Vorrang vor Regeln für die Netzwerksicherheitsgruppe (Network Security Group, NSGs) und werden auf das virtuelle Netzwerk angewendet. Auf diese Weise können Organisationen Kernrichtlinien mit Sicherheitsadministratorregeln erzwingen und gleichzeitig nachgelagerte Teams die NSGs entsprechend ihren spezifischen Anforderungen auf subnetz- und NIC-Ebene anpassen.
Abhängig von den Anforderungen Ihrer Organisation können Sie " Zulassen", " Verweigern" oder " Immer zulassen "-Regelaktionen verwenden, um Sicherheitsrichtlinien zu erzwingen:
| Regelaktion | Description |
|---|---|
| Allow | Lässt den angegebenen Datenverkehr standardmäßig zu. Nachgeschaltete NSGs erhalten diesen Datenverkehr weiterhin und können ihn möglicherweise verweigern. |
| Immer zulassen | Lassen Sie den angegebenen Datenverkehr immer zu, unabhängig von anderen Regeln mit niedrigerer Priorität oder NSGs. Hiermit kann sichergestellt werden, dass der Überwachungsagent, der Domänencontroller oder der Verwaltungsdatenverkehr nicht blockiert wird. |
| Deny | Blockieren sie den angegebenen Datenverkehr. Nachgeschaltete NSGs werten diesen Datenverkehr nicht aus, nachdem er von einer Sicherheitsadministratorregel verweigert wurde. So wird sichergestellt, dass Ihre Hochrisikoports für vorhandene und neue virtuelle Netzwerke standardmäßig geschützt sind. |
In Azure Virtual Network Manager können Sie virtuelle Netzwerke für die zentrale Verwaltung und Durchsetzung von Sicherheitsrichtlinien gruppieren . Netzwerkgruppen sind eine logische Gruppierung virtueller Netzwerke basierend auf Ihren Anforderungen aus einer Topologie und Sicherheitsperspektive. Sie können die virtuelle Netzwerkmitgliedschaft Ihrer Netzwerkgruppen manuell aktualisieren oder bedingte Anweisungen mit Azure Policy definieren, um Netzwerkgruppen dynamisch zu aktualisieren, um Ihre Netzwerkgruppenmitgliedschaft automatisch zu aktualisieren.
Azure Private Link
Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-PaaS-Dienste (beispielsweise Azure Storage und SQL Database) sowie auf in Azure gehostete kundeneigene Dienste/Partnerdienste zugreifen. Die Einrichtung und Nutzung von Azure Private Link ist in Azure PaaS-, Kunden- und gemeinsam genutzten Partnerdiensten einheitlich. Der Datenverkehr aus Ihrem virtuellen Netzwerk an den Azure-Dienst verbleibt immer im Backbone-Netzwerk von Microsoft Azure.
Private Endpunkte ermöglichen es Ihnen, Ihre kritischen Azure-Dienstressourcen nur mit Ihren virtuellen Netzwerken abzusichern. Private Azure-Endpunkte verwenden eine private IP-Adresse Ihres virtuellen Netzwerks (VNet), um eine private und sichere Verbindung mit einem von Azure Private Link unterstützten Dienst herzustellen, wodurch der Dienst im Grunde in Ihr VNet eingebunden wird. Es ist nicht mehr erforderlich, Ihr virtuelles Netzwerk im öffentlichen Internet zur Verfügung zu stellen, um Dienste in Azure zu nutzen.
Sie können auch Ihren eigenen Private Link-Dienst in Ihrem virtuellen Netzwerk erstellen. Der Azure Private Link-Dienst ist der Verweis auf Ihren eigenen Dienst, der von Azure Private Link unterstützt wird. Ihr Dienst, der hinter Azure Load Balancer Standard ausgeführt wird, kann für den Zugriff auf Private Link aktiviert werden, sodass die Benutzer Ihres Diensts privat über ihre eigenen virtuellen Netzwerke auf diesen zugreifen können. Ihre Kunden können einen privaten Endpunkt in ihrem virtuellen Netzwerk erstellen und diesem Dienst zuordnen. Es ist nicht mehr erforderlich, Ihren Dienst im öffentlichen Internet zur Verfügung zu stellen, um Dienste in Azure zu rendern.
VPN Gateway
Wenn Sie Netzwerkdatenverkehr zwischen Ihrem Azure Virtual Network und Ihrem lokalen Standort senden möchten, müssen Sie für Ihr Azure Virtual Network ein VPN Gateway erstellen. Ein VPN-Gateway ist eine Art virtuelles Netzwerkgateway, das verschlüsselten Datenverkehr über eine öffentliche Verbindung sendet. Sie können VP Gateways auch verwenden, um Datenverkehr zwischen Azure Virtual Networks über das Azure-Netzwerkfabric zu senden.
ExpressRoute
Microsoft Azure ExpressRoute ist eine dedizierte WAN-Verbindung, mit der Sie Ihre lokalen Netzwerke über eine dedizierte private Verbindung, die von einem Konnektivitätsanbieter erleichtert wird, in die Microsoft-Cloud erweitern können.
Mit ExpressRoute können Sie Verbindungen mit Microsoft-Clouddiensten herstellen, z. B. Microsoft Azure und Microsoft 365. Die Konnektivität kann über ein Any-to-Any-Netzwerk (IP VPN), ein Point-to-Point-Ethernet-Netzwerk oder eine virtuelle Querverbindung über einen Konnektivitätsanbieter in einer Co-Location-Einrichtung bereitgestellt werden.
ExpressRoute-Verbindungen verlaufen nicht über das öffentliche Internet und können somit als sicherer angesehen werden als VPN-basierte Lösungen. Auf diese Weise können ExpressRoute-Verbindungen eine höhere Sicherheit, größere Zuverlässigkeit und schnellere Geschwindigkeit bei geringerer Latenz als herkömmliche Verbindungen über das Internet bieten.
Application Gateway
Microsoft Azure Application Gateway verfügt über einen ADC (Application Delivery Controller) als Dienst und damit für Ihre Anwendung über verschiedene Lastenausgleichsfunktionen auf Schicht 7.
Es ermöglicht Ihnen, durch das Auslagern der CPU-intensiven TLS-Terminierung an das Anwendungsgateway (auch als TLS-Offload oder TLS-Bridging bezeichnet) die Produktivität einer Webfarm zu optimieren. Darüber hinaus werden noch weitere Routingfunktionen der Ebene 7 bereitgestellt. Hierzu zählen etwa die Roundrobin-Verteilung des eingehenden Datenverkehrs, cookiebasierte Sitzungsaffinität, Routing auf URL-Pfadbasis und die Möglichkeit zum Hosten mehrerer Websites hinter einer einzelnen Application Gateway-Instanz. Azure Application Gateway verwendet einen Load Balancer auf der Schicht 7 (Anwendungsschicht).
Das Application Gateway ermöglicht ein Failover sowie schnelles Routing von HTTP-Anforderungen zwischen verschiedenen Servern in der Cloud und der lokalen Umgebung.
Die Anwendung bietet viele ADC-Funktionen (Application Delivery Controller), einschließlich HTTP-Lastenausgleich, Cookie-basierte Sitzungsaffinität, TLS-Offload, benutzerdefinierte Integritätssonden, Unterstützung für mehrere Standorte und viele andere.
Web Application Firewall
Web Application Firewall ist ein Feature von Azure Application Gateway, das Schutz für Webanwendungen bietet, die Application Gateway für ADC-Standardfunktionen (Application Delivery Control, Steuerung der Anwendungsbereitstellung) nutzen. Web Application Firewall schützt sie vor den nach OWASP 10 häufigsten Web-Sicherheitslücken.
Schutz vor Einschleusung von SQL-Befehlen
Schutz vor allgemeinen Webangriffen wie Einfügung von Befehlen, HTTP-Anforderungsschmuggel, Teilen von HTTP-Antworten und Remotedateieinschluss
Schutz vor Verletzungen des HTTP-Protokolls
Schutz vor HTTP-Protokollanomalien, z. B. fehlender Host, Benutzer-Agent und Akzeptieren von Headern
Verhindern von Bots, Crawlern und Scannern
Erkennung gängiger Anwendungsfehler (z. B. Apache, IIS)
Eine zentrale Webanwendungsfirewall (WAF) vereinfacht die Sicherheitsverwaltung und verbessert den Schutz vor Webangriffen. Sie bietet eine bessere Sicherheit vor Angriffsbedrohungen und kann schneller auf Sicherheitsbedrohungen reagieren, indem bekannte Sicherheitsrisiken zentral gepatcht werden, anstatt jede einzelne Webanwendung zu schützen. Vorhandene Anwendungsgateways können problemlos aktualisiert werden, um eine Webanwendungsfirewall einzuschließen.
Azure Front Door – der Dienst für Web-Traffic-Management
Azure Front Door ist ein globaler, skalierbarer Einstiegspunkt, der das globale Edgenetzwerk von Microsoft verwendet, um schnelle, sichere und weit skalierbare Webanwendungen zu erstellen. Front Door bietet:
- Globaler Lastenausgleich: Verteilen des Datenverkehrs über mehrere Back-Ends in verschiedenen Regionen
- Integrierte Webanwendungsfirewall: Schutz vor häufig auftretenden Sicherheitsrisiken und Angriffen im Web
- DDoS-Schutz: Integrierter Schutz vor verteilten Denial-of-Service-Angriffen
- SSL/TLS Offload: Zentrale Zertifikatverwaltung und Datenverkehrsverschlüsselung
- URL-basiertes Routing: Weiterleiten des Datenverkehrs an verschiedene Back-Ends basierend auf URL-Mustern
Front Door kombiniert die Inhaltsübermittlung, Anwendungsbeschleunigung und Sicherheit in einem einzigen Dienst.
Traffic Manager
Mit Microsoft Azure Traffic Manager können Sie die Verteilung des Benutzerdatenverkehrs für Dienstendpunkte in verschiedenen Rechenzentren steuern. Zu den von Traffic Manager unterstützten Dienstendpunkten zählen virtuelle Azure-Computer, Web-Apps und Clouddienste. Darüber hinaus kann Traffic Manager auch mit externen, Azure-fremden Endpunkten verwendet werden.
Traffic Manager verwendet das Domain Name System (DNS), um Clientanforderungen basierend auf einer Datenverkehrsroutingmethode und der Integrität der Endpunkte an den am besten geeigneten Endpunkt zu leiten. Traffic Manager bietet eine Reihe von Datenverkehrsrouting-Methoden, die verschiedene Anwendungsanforderungen erfüllen und die Überwachung der Integrität von Endpunkten sowie automatisches Failover ermöglichen. Traffic Manager zeichnet sich durch eine geringe Fehleranfälligkeit aus, selbst wenn es zu einem Ausfall einer ganzen Azure-Region kommt.
Azure Load Balancer
Der Azure Load Balancer bietet Hochverfügbarkeit und Netzwerkleistung für Ihre Anwendungen. Es ist ein Layer-4-Lastenausgleichsmodul (TCP, UDP), das eingehenden Datenverkehr auf funktionierende Dienstinstanzen verteilt, die in einer Lastenausgleichsgruppe definiert sind. Azure Load Balancer kann für Folgendes konfiguriert werden:
Lastenausgleich des eingehenden Internetdatenverkehrs für virtuelle Computer. Diese Konfiguration wird als öffentlicher Lastenausgleich bezeichnet.
Lastenausgleich für Datenverkehr zwischen virtuellen Computern in einem virtuellen Netzwerk, zwischen virtuellen Computern in Clouddiensten oder zwischen lokalen und virtuellen Computern in einem standortübergreifenden virtuellen Netzwerk. Diese Konfiguration wird als interner Lastenausgleichbezeichnet.
Weiterleiten von externem Datenverkehr an eine bestimmte Instanz eines virtuellen Computers
Internes DNS-System
Sie können die Liste der in einem VNet verwendeten DNS-Server im Verwaltungsportal oder mithilfe der Netzwerkkonfigurationsdatei verwalten. Kunden können bis zu 12 DNS-Server für jedes VNet hinzufügen. Beim Angeben von DNS-Servern müssen Sie darauf achten, dass Sie die DNS-Server des Kunden in der richtigen Reihenfolge für dessen Umgebung auflisten. DNS-Serverlisten werden nicht per Roundrobin verarbeitet. Sie werden in der Reihenfolge verwendet, in der sie angegeben sind. Wenn der erste DNS-Server in der Liste erreicht werden kann, verwendet der Client diesen DNS-Server unabhängig davon, ob der DNS-Server ordnungsgemäß funktioniert. Um die Reihenfolge der DNS-Server für das virtuelle Netzwerk des Kunden zu ändern, entfernen Sie die DNS-Server aus der Liste, und fügen Sie sie in der vom Kunden gewünschten Reihenfolge wieder hinzu. DNS unterstützt den Verfügbarkeitsaspekt der drei Sicherheitsbereiche „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.
Azure DNS
Das Domain Name System (DNS) ist für die Übersetzung (oder Auflösung) eines Website- oder Dienstnamens in die IP-Adresse verantwortlich. Azure DNS ist ein Hostingdienst für DNS-Domänen, der die Namensauflösung mithilfe der Microsoft Azure-Infrastruktur bereitstellt. Durch das Hosten Ihrer Domänen in Azure können Sie Ihre DNS-Einträge mithilfe der gleichen Anmeldeinformationen, APIs, Tools und Abrechnung wie für die anderen Azure-Dienste verwalten. DNS unterstützt den Verfügbarkeitsaspekt der "CIA"-Sicherheitstriad.
Netzwerksicherheitsgruppen in Azure Monitor-Protokolle
Sie können die folgenden Diagnoseprotokoll-Kategorien für Netzwerksicherheitsgruppen aktivieren:
Ereignis: Enthält Einträge, für die NSG-Regeln auf virtuelle Computer und Instanzrollen auf Grundlage der MAC-Adresse angewendet werden. Der Status für diese Regeln wird alle 60 Sekunden erfasst.
Regelzähler: Enthält Einträge darüber, wie oft jede NSG-Regel angewendet wurde, um Datenverkehr zuzulassen oder zu verweigern.
Microsoft Defender for Cloud
Microsoft Defender für Cloud analysiert ständig den Sicherheitsstatus Ihrer Azure-Ressourcen anhand bewährter Methoden für Netzwerksicherheit. Wenn Defender für Cloud potenzielle Sicherheitsrisiken identifiziert, erstellt es Empfehlungen , die Sie durch den Prozess der Konfiguration der erforderlichen Steuerelemente führen, um Ihre Ressourcen zu härten und zu schützen.
Erweiterte Container-Netzwerkdienste (ACNS)
Erweiterte Container-Netzwerkdienste (Advanced Container Networking Services, ACNS) ist eine umfassende Lösung, die die betriebliche Effizienz Ihrer Azure Kubernetes Service-Cluster (AKS) verbessern soll. Die Lösung bietet erweiterte Features für Sicherheit und Einblicke, die die Verwaltung der Microservices-Infrastruktur im großen Maßstab vereinfachen.
Diese Features sind in zwei Hauptbereiche unterteilt:
Sicherheit: Bei Clustern mit Azure CNI Powered by Cilium enthalten Netzwerkrichtlinien vollqualifizierte Domänennamenfilter (FQDN), um die Komplexität der Verwaltung der Konfiguration zu lösen.
Observability: Diese Funktion der Advanced Container Networking Services-Suite überträgt die Leistungsfähigkeit der Hubble-Kontrollebene auf Linux-Datenebenen sowohl mit als auch ohne Cilium und bietet eine verbesserte Transparenz in Bezug auf Netzwerke und Leistung.
Sicherheitsvorgänge und -verwaltung
Die Verwaltung und Überwachung der Sicherheit Ihrer Azure-Umgebung ist für die Aufrechterhaltung eines starken Sicherheitsstatus unerlässlich. Azure bietet umfassende Tools für Sicherheitsvorgänge, Bedrohungserkennung und Reaktion auf Vorfälle. Ausführliche Abdeckung der Sicherheitsverwaltung und -überwachung finden Sie unter Azure Security Management and Monitoring Overview. Sehen Sie sich die Bewährten Methoden für die betriebliche Sicherheit von Azure an. Eine umfassende Übersicht über die betriebliche Sicherheit finden Sie in der Übersicht über die betriebliche Sicherheit von Azure.
Microsoft Sentinel
Microsoft Sentinel ist eine skalierbare, cloudnative Lösung für SIEM (Security Information & Event Management) und SOAR (Security Orchestration, Automation, and Response). Microsoft Sentinel bietet intelligente Sicherheits- und Bedrohungsanalysen für das gesamte Unternehmen und stellt eine zentrale Lösung für Angriffs- und Bedrohungserkennung, proaktives Hunting und die Reaktion auf Bedrohungen dar.
Microsoft Sentinel ist jetzt im Microsoft Defender-Portal für alle Kunden verfügbar und bietet eine einheitliche Sicherheitsoperationserfahrung, die Workflows optimiert und die Sichtbarkeit verbessert. Die Integration mit Security Copilot ermöglicht Analysten die Interaktion mit Microsoft Sentinel-Daten mithilfe natürlicher Sprache, generieren Suchabfragen und automatisieren Untersuchungen für schnellere Bedrohungsreaktionen.
Microsoft Defender for Cloud
Microsoft Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen. Mit dieser Cloudlösung gewinnen Sie mehr Transparenz und bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Microsoft Defender für Cloud bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung in Ihren Azure-Abonnements, hilft beim Erkennen von Bedrohungen, die andernfalls unbemerkt sind, und arbeitet mit einem breiten Ökosystem von Sicherheitslösungen.
Microsoft Defender für Cloud bietet umfassenden Schutz mit workloadspezifischen Plänen, einschließlich:
- Defender für Server – Erweiterter Bedrohungsschutz für Windows- und Linux-Server
- Defender für Container – Sicherheit für containerisierte Anwendungen und Kubernetes
- Defender for Storage – Bedrohungserkennung mit Schadsoftwareüberprüfung und vertraulicher Datenermittlung
- Defender für Datenbanken – Schutz für Azure SQL, Azure-Datenbank für MySQL und PostgreSQL
- Defender for AI Services – Laufzeitschutz für Azure AI-Dienste gegen Jailbreak-Versuche, Datenexposition und verdächtige Zugriffsmuster
- Defender CSPM – Cloud Security Posture Management mit Angriffspfadanalyse, Sicherheitsgovernance und KI-Sicherheitsstatusverwaltung
Außerdem hilft Defender for Cloud Ihnen bei Sicherheitsvorgängen, indem Ihnen ein einzelnes Dashboard bereitgestellt wird, das als Oberfläche für Warnungen und Empfehlungen dient, auf die sofort reagiert werden kann. Die Security Copilot-Integration bietet KI-generierte Zusammenfassungen, Wartungsskripts und Delegierungsfunktionen, um die Risikobehebung zu beschleunigen.
Umfassende Funktionen zur Bedrohungserkennung in Azure finden Sie unter Azure Threat Protection.
Azure Resource Manager
Mit dem Azure Resource Manager können Sie als Gruppe mit den Ressourcen in Ihrer Lösung arbeiten. Sie können alle Ressourcen für Ihre Lösung in einem einzigen koordinierten Vorgang bereitstellen, aktualisieren oder löschen. Sie verwenden eine Azure Resource Manager-Vorlage für die Bereitstellung, die für unterschiedliche Umgebungen geeignet sein kann, z. B. Testing, Staging und Produktion. Der Ressourcen-Manager bietet Sicherheits-, Überwachungs- und Kennzeichnungsfunktionen, mit denen Sie Ihre Ressourcen nach der Bereitstellung verwalten können.
Auf Azure Resource Manager-Vorlagen basierte Bereitstellungen helfen dabei, die Sicherheit von Lösungen zu verbessern, die in Azure bereitgestellt werden, da standardmäßige Einstellungen für die Sicherheitskontrolle in standardisierte vorlagenbasierte Bereitstellungen integriert werden können. Vorlagen verringern das Risiko von Fehlern bei der Sicherheitskonfiguration, die möglicherweise bei manuellen Bereitstellungen auftreten können.
Application Insights
Application Insights ist ein flexibler APM-Dienst (Application Performance Management), der für Webentwickler entwickelt wurde. Sie können damit Ihre aktiven Webanwendungen überwachen und automatisch Leistungsanomalien erkennen. Mithilfe von leistungsstarken Analysetools können Sie Probleme diagnostizieren und Einblicke in Benutzerinteraktionen mit Ihren Apps erhalten. Application Insights überwacht Ihre Anwendung kontinuierlich, von der Entwicklung über Tests bis hin zur Produktion.
Application Insights generiert aufschlussreiche Diagramme und Tabellen. Diese zeigen Zeiten mit der höchsten Benutzeraktivität, die Reaktionsfähigkeit der App und die Leistung aller zugrunde liegenden externen Dienste.
Im Falle von Abstürzen, Fehlern oder Leistungsproblemen können Sie die Daten im Detail durchsuchen, um die Fehlerursache zu ermitteln. Darüber hinaus informiert Sie der Dienst per E-Mail, falls sich die Verfügbarkeit oder Leistung Ihrer App ändert. Application Insights wird daher zu einem wertvollen Sicherheitstool, da es bei der Verfügbarkeit hilft, die zu den drei Sicherheitsbereichen zählt: Vertraulichkeit, Integrität und Verfügbarkeit.
Azure Monitor
Azure Monitor bietet Visualisierung, Abfrage, Routing, Warnung, automatische Skalierung und Automatisierung von Daten sowohl aus dem Azure-Abonnement (Aktivitätsprotokoll) als auch jeder einzelnen Azure-Ressource (Ressourcenprotokolle). Mit Azure Monitor können Sie sich bei sicherheitsrelevanten Ereignissen warnen lassen, die in Azure-Protokollen generiert werden.
Azure Monitor-Protokolle
Azure Monitor-Protokolle bieten zusätzlich zu Azure-Ressourcen eine IT-Verwaltungslösung für lokale und cloudbasierte Infrastruktur von Drittanbietern (z. B. Amazon Web Services). Daten von Azure Monitor können direkt an Azure Monitor-Protokolle weitergeleitet werden, sodass Sie die Metriken und Protokolle für Ihre gesamte Umgebung an einem Ort finden.
Azure Monitor-Protokolle kann ein hilfreiches Tool bei forensischen und anderen Sicherheitsanalysen sein, da Sie mit dem Tool schnell große Mengen von sicherheitsbezogenen Einträgen mit einem flexiblen Abfrageansatz durchsuchen können. Darüber hinaus können lokale Firewall- und Proxyprotokolle in Azure exportiert und für die Analyse mit Azure Monitor-Protokolle zur Verfügung gestellt werden.
Azure Advisor
Azure Advisor ist ein personalisierter Cloudberater, der Ihnen hilft, Ihre Azure-Bereitstellungen zu optimieren. Diese Lösung analysiert Ihre Ressourcenkonfiguration und Nutzungsdaten. Es empfiehlt dann Lösungen, um die Leistung, Sicherheit und Zuverlässigkeit Ihrer Ressourcen zu verbessern, während Sie nach Möglichkeiten suchen, ihre gesamten Azure-Ausgaben zu reduzieren. Der Azure Advisor bietet Sicherheitsempfehlungen, die den Gesamtsicherheitsstatus für Lösungen erheblich verbessern können, die Sie in Azure bereitstellen. Diese Empfehlungen stammen aus der Sicherheitsanalyse, die vom Microsoft Defender für Cloud durchgeführt wurde.
Identitäts- und Zugriffsverwaltung
Identität ist der primäre Sicherheitsperimeter in Cloud Computing. Der Schutz von Identitäten und das Steuern des Zugriffs auf Ressourcen ist für die Sicherung Ihrer Azure-Umgebung von grundlegender Bedeutung. Die Microsoft Entra-ID bietet umfassende Identitäts- und Zugriffsverwaltungsfunktionen. Ausführliche Informationen finden Sie in der Azure Identity Management-Übersicht. Bewährte Methoden für das Identitätsmanagement finden Sie unter Azure Identity Management und Best Practices zur Zugangskontrollsicherheit. Anleitungen zum Sichern der Identitätsinfrastruktur finden Sie in fünf Schritten zum Sichern Ihrer Identitätsinfrastruktur.
Microsoft Entra ID
Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Sie bietet:
- Single Sign-On (SSO): Ermöglichen Sie Benutzern den Zugriff auf mehrere Anwendungen mit einer Gruppe von Anmeldeinformationen.
- Mehrstufige Authentifizierung (Multi-Factor Authentication, MFA): Mehrere Überprüfungsformen für die Anmeldung erforderlich
- Bedingter Zugriff: Steuern des Zugriffs auf Ressourcen basierend auf Benutzer, Gerät, Standort und Risiko
- Identitätsschutz: Erkennen und Reagieren auf identitätsbasierte Risiken
- Privileged Identity Management (PIM): Bereitstellen des just-in-time privilegierten Zugriffs auf Azure-Ressourcen
- Identitätsverwaltung: Verwaltung des Identitätslebenszyklus und der Zugriffsrechte
Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)
Azure role-based access control (RBAC) hilft Ihnen, zu verwalten, wer Zugriff auf Azure-Ressourcen hat, was sie mit diesen Ressourcen tun können und auf welche Bereiche sie Zugriff haben. RBAC bietet eine differenzierte Zugriffsverwaltung für Azure-Ressourcen, sodass Sie Benutzern nur die Rechte gewähren können, die sie zum Ausführen ihrer Aufgaben benötigen.
Microsoft Entra Privileged Identity Management
Mit Microsoft Entra Privileged Identity Management (PIM) können Sie den Zugriff auf wichtige Ressourcen in Ihrer Organisation verwalten, steuern und überwachen. PIM bietet zeitbasierte und genehmigungsbasierte Rollenaktivierung, um die Risiken übermäßiger, unnötiger oder missbrauchter Zugriffsberechtigungen zu minimieren.
Verwaltete Identitäten für Azure-Ressourcen
Verwaltete Identitäten für Azure-Ressourcen stellen Azure-Dienste mit einer automatisch verwalteten Identität in Microsoft Entra-ID bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.
Patch-Updates bilden die Grundlage zum Ermitteln und Beheben potenzieller Probleme und zur Vereinfachung des Verwaltungsprozesses von Softwareupdates. Beides wird dadurch erreicht, dass einerseits die Anzahl von Softwareupdates verringert wird, die Sie in Ihrem Unternehmen bereitstellen müssen, und andererseits die Möglichkeiten verbessert werden, die Einhaltung der Vorgaben zu überwachen.
Verwaltung von Sicherheitsrichtlinien und Berichtserstellung
Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen und verschafft Ihnen mehr Transparenz und somit eine bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements, hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum an Sicherheitslösungen verwendet werden.
Sichere Identität
Microsoft verwendet mehrere Sicherheitsmaßnahmen und -technologien für seine Produkte und Dienste für die Identitäts- und Zugriffsverwaltung.
Für die mehrstufige Authentifizierung müssen Benutzer mehrere Methoden für den Zugriff, lokal und in der Cloud verwenden. Mit einer Reihe einfacher Verifizierungsoptionen wird für eine leistungsstarke Authentifizierung gesorgt und gleichzeitig die Benutzeranforderungen an einen einfachen Anmeldeprozess erfüllt.
Microsoft Authenticator bietet eine benutzerfreundliche mehrstufige Authentifizierung, die sowohl mit Microsoft Entra ID- als auch mit Microsoft-Konten funktioniert, und umfasst Unterstützung für Wearables und fingerabdruckbasierte Genehmigungen.
Erzwingung der Kennwortrichtlinie erhöht die Sicherheit herkömmlicher Kennwörter, indem Anforderungen hinsichtlich Länge und Komplexität sowie eine regelmäßige erzwungene Rotation und Kontosperrungen nach fehlgeschlagenen Authentifizierungsversuchen durchgesetzt werden.
Die tokenbasierte Authentifizierung ermöglicht die Authentifizierung über die Microsoft Entra-ID.
Die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) ermöglicht es Ihnen, den Zugriff auf Grundlage einer zugewiesenen Benutzerrolle zu gewähren. Dies erleichtert es Ihnen, Benutzern nur den zum Ausführen ihrer Aufgaben erforderlichen Zugriff zu erteilen. Sie können Azure RBAC gemäß dem Geschäftsmodell und der Risikotoleranz Ihrer Organisation anpassen.
Integrierte Identitätsverwaltung (Hybrididentität) ermöglicht es Ihnen, den Benutzerzugriff auf interne Rechenzentren und Cloudplattformen zu kontrollieren, indem Sie eine einzelne Benutzeridentität für die Authentifizierung und Autorisierung für alle Ressourcen erstellen.
Schützen von Apps und Daten
Microsoft Entra ID ist eine umfassende Cloudlösung zur Identitäts- und Zugriffsverwaltung und unterstützt Sie beim Sichern des Zugriffs auf Daten in lokalen Anwendungen und in der Cloud und vereinfacht die Verwaltung von Benutzern und Gruppen. Es kombiniert wesentliche Verzeichnisdienste, erweiterte Identitätskontrolle, Sicherheit und Anwendungszugriffsverwaltung und gestaltet es für Entwickler einfach, eine richtlinienbasierte Identitätsverwaltung in ihre Apps zu integrieren. Um Ihre Microsoft Entra ID-Erfahrung zu verbessern, können Sie kostenpflichtige Funktionen mithilfe der Editionen Microsoft Entra Basic, Premium P1 und Premium P2 hinzufügen.
Cloud App Discovery ist ein Premium-Feature von Microsoft Entra ID, mit dem Sie Cloudanwendungen identifizieren können, die von den Mitarbeitern in Ihrer Organisation verwendet werden.
Microsoft Entra ID-Schutz ist ein Sicherheitsdienst, der die Funktionen von Microsoft Entra ID zur Erkennung von Anomalien verwendet, um eine konsolidierte Ansicht zu Risikoerkennungen und potenziellen Sicherheitslücken zu bieten, die sich auf die Identitäten Ihrer Organisation auswirken könnten.
Mit Microsoft Entra Domain Services können Sie Azure-VMs in eine Domäne einbinden, ohne Domänencontroller bereitstellen zu müssen. Die Benutzer melden sich mit den Active Directory-Anmeldeinformationen ihres Unternehmens an diesen virtuellen Computern an und können nahtlos auf Ressourcen zugreifen.
Microsoft Entra B2C ist ein hoch verfügbarer, globaler Identitätsverwaltungsdienst für kundenorientierte Apps, der für Hunderte Millionen von Identitäten skaliert und plattformübergreifend (mobil und Web) integriert werden kann. Ihre Kunden können sich über anpassbare Benutzeroberflächen, die vorhandene Konten für soziale Netzwerke verwenden, bei all Ihren Apps anmelden. Sie können aber auch neue eigenständige Anmeldeinformationen erstellen.
Die Microsoft Entra B2B Collaboration ist eine sichere Lösung zur Partnerintegration, die Partnern den gezielten Zugriff auf Ihre Unternehmensanwendungen und Unternehmensdaten über ihre selbstverwalteten Identitäten ermöglicht und so Ihre unternehmensübergreifenden Beziehungen unterstützt.
In Microsoft Entra eingebunden ermöglicht Ihnen das Erweitern von Cloudfunktionen auf Windows 10-Geräte für die zentrale Verwaltung. Dadurch erhalten Benutzer die Möglichkeit, über Microsoft Entra ID eine Verbindung mit der Cloud des Unternehmens oder der Organisation herzustellen, und der Zugriff auf Apps und Ressourcen wird vereinfacht.
Der Microsoft Entra-Anwendungsproxy ermöglicht das einmalige Anmelden (SSO) und den sicheren Remotezugriff für lokal gehostete Webanwendungen.
Nächste Schritte
Informieren Sie sich über die gemeinsame Verantwortung in der Cloud.
Hier erfahren Sie, wie Microsoft Defender für Cloud Ihnen dabei hilft, Bedrohungen zu verhindern, zu erkennen und auf sie zu reagieren, indem Sie die Sicherheit Ihrer Azure-Ressourcen besser einsehen und somit besser kontrollieren können.
Erkunden Sie bewährte Methoden und Muster für azure-Sicherheit , um zusätzliche Sicherheitsempfehlungen zu erhalten.
Überprüfen Sie den Microsoft Cloud Security-Benchmark für umfassende Sicherheitsleitlinien.
Siehe End-to-End-Sicherheit in Azure , um eine Sicherheits-, Erkennungs- und Antwortansicht der Azure-Sicherheitsarchitektur zu erhalten.