Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel beschreibt bewährte Best Practices für die Sicherheit von virtuellen Computern und Betriebssystemen.
Die bewährten Methoden basieren auf einer gemeinsamen Linie und eignen sich für aktuelle Funktionen und Features der Azure-Plattform. Da sich Meinungen und Technologien im Laufe der Zeit verändern können, wird dieser Artikel regelmäßig aktualisiert, um diesen Veränderungen Rechnung zu tragen.
In den meisten IaaS-Szenarien (Infrastructure-as-a-Service, Infrastruktur als Dienst) stellen virtuelle Azure-Computer (Virtual Machines, VMs) die Hauptworkload für Organisationen dar, die Cloud Computing verwenden. This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. Orientieren Sie sich in solchen Szenarien an den allgemeinen Sicherheitsaspekten für IaaS, und wenden Sie bewährte Sicherheitsmethoden für alle Ihre virtuellen Computer an.
Schützen von VMs mittels Authentifizierungs- und Zugriffssteuerung
Der erste Schritt zum Schutz Ihrer virtuellen Computer ist, sicherzustellen, dass nur autorisierte Benutzer neue VMs einrichten und auf VMs zugreifen können.
Note
Um die Sicherheit von Linux-VMs in Azure zu verbessern, können Sie die Microsoft Entra-Authentifizierung integrieren. Bei Verwendung der Microsoft Entra-Authentifizierung für Linux-VMs werden Richtlinien, mit denen der Zugriff auf die VM zugelassen oder verweigert wird, zentral gesteuert und erzwungen.
Best practice: Control VM access. Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Apply these policies to resources, such as resource groups. Virtuelle Computer, die einer Ressourcengruppe angehören, erben deren Richtlinien.
Wenn Ihre Organisation über viele Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Azure-Verwaltungsgruppen stellen einen abonnementübergreifenden Bereich bereit. Sie organisieren Abonnements in Verwaltungsgruppen (Containern) und wenden Ihre Governancebedingungen auf diese Gruppen an. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Gruppe angewendeten Bedingungen. Verwaltungsgruppen ermöglichen Ihnen – unabhängig von den Arten Ihrer Abonnements – die unternehmenstaugliche Verwaltung in großem Umfang.
Best practice: Reduce variability in your setup and deployment of VMs. Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.
Best practice: Secure privileged access. Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:
- Mitwirkender von virtuellen Computern: Kann virtuelle Computer verwalten, jedoch nicht das virtuelle Netzwerk oder Speicherkonto, mit dem sie verbunden sind.
- Mitwirkender von klassischen virtuellen Computern: Kann virtuelle Computer verwalten, die mit dem klassischen Bereitstellungsmodell erstellt wurden, aber nicht das virtuelle Netzwerk oder Speicherkonto, mit dem sie verbunden sind.
- Security Admin: In Defender for Cloud only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
- DevTest Labs-Benutzer: Kann alles anzeigen sowie virtuelle Computer verbinden, starten, neu starten und herunterfahren.
Ihre Abonnementadministratoren und Coadministratoren können diese Einstellung ändern und so zu Administratoren aller virtuellen Computer in einem Abonnement werden. Achten Sie darauf, dass alle Ihre Abonnementadministratoren und -coadministratoren für die Anmeldung bei Ihren Computern vertrauenswürdig sind.
Note
Sie sollten virtuelle Computer mit gleichem Lebenszyklus in der gleichen Ressourcengruppe zusammenzufassen. Ressourcengruppen ermöglichen die Bereitstellung und Überwachung Ihrer Ressourcen sowie die Zusammenfassung der Abrechnungskosten für Ihre Ressourcen.
Organisationen, die VM-Zugriff und -Einrichtung steuern, verbessern die gesamte VM-Sicherheit.
Verwenden von Skalierungssätzen für virtuelle Computer für hohe Verfügbarkeit
Wenn Ihre VM kritische Anwendungen ausführt, die über hohe Verfügbarkeit verfügen müssen, empfehlen wir dringend, dass Sie Skalierungssätze für virtuelle Computer verwenden.
Mit Vm Scale Sets können Sie eine Gruppe von VMs mit Lastenausgleich erstellen und verwalten. Die Anzahl von VM-Instanzen kann automatisch erhöht oder verringert werden, wenn sich der Bedarf ändert, oder es kann ein Zeitplan festgelegt werden. Skalierungsgruppen ermöglichen Hochverfügbarkeit für Ihre Anwendungen und das zentrale Verwalten, Konfigurieren und Aktualisieren zahlreicher VMs. Für die Skalierungssgruppe selbst entstehen keine Kosten. Sie bezahlen nur für die einzelnen VM-Instanzen, die Sie erstellen.
VMs in einer Skalierungsgruppe können auch in mehreren Verfügbarkeitszonen, in einer einzelnen Verfügbarkeitszone oder regional bereitgestellt werden.
Schutz vor Malware
Installieren Sie einen Schadsoftwareschutz, um Viren, Spyware und andere Schadsoftware zu erkennen und zu entfernen. You can install Microsoft Antimalware or a Microsoft partner's endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).
Microsoft-Antischadsoftware umfasst Features wie Echtzeitschutz, geplante Überprüfungen, Malwareproblembehandlung, Signaturupdates, Engine-Updates, Beispielberichte und Sammlungen von Ausschlussereignissen. Für Umgebungen, die getrennt von Ihrer Produktionsumgebung gehostet werden, können Sie eine Antischadsoftware-Erweiterung verwenden, um den Schutz Ihrer VMs und Clouddienste zu verbessern.
Sie können Microsoft Antimalware und Partnerlösungen zur Vereinfachung der Bereitstellung und für integrierte Erkennungen (Warnungen und Vorfälle) mit Microsoft Defender für Cloud kombinieren.
Best practice: Install an antimalware solution to protect against malware.
Detail: Install a Microsoft partner solution or Microsoft Antimalware
Best practice: Integrate your antimalware solution with Defender for Cloud to monitor the status of your protection.
Detail: Manage endpoint protection issues with Defender for Cloud
Verwalten Ihrer Updates für virtuelle Computer
Azure-VMs sollen wie alle lokalen VMs vom Benutzer verwaltet werden. Azure führt bei ihnen keine Pushübertragungen von Windows-Updates durch. Sie müssen Ihre Updates für virtuelle Computer verwalten.
Best practice: Keep your VMs current.
Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Sie können den Status der verfügbaren Updates auf allen Agent-Computern schnell auswerten und die Installation der für den Server erforderlichen Updates initiieren.
Verwenden Sie für Computer, die mit der Updateverwaltung verwaltet werden, die folgenden Konfigurationen, um Bewertungen und Updatebereitstellungen durchzuführen:
- Microsoft Monitoring Agent (MMA) für Windows oder Linux
- PowerShell Desired State Configuration (DSC) für Linux
- Automatisierung Hybrid Runbook Worker
- Microsoft Update oder Windows Server Update Services (WSUS) für Windows-Computer
Wenn Sie Windows Update verwenden, lassen Sie die Einstellung für automatische Windows-Updates aktiviert.
Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detail: Check for and install all Windows updates as a first step of every deployment. Dies ist besonders wichtig, wenn Sie Images bereitstellen, die von Ihnen selbst oder aus Ihrer eigenen Bibliothek stammen. Obwohl Images aus dem Azure Marketplace standardmäßig automatisch aktualisiert werden, kann nach einem öffentlichen Release eine Verzögerung (bis zu ein paar Wochen) eintreten.
Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. Mithilfe einer Vorlage erhalten Sie bei Bedarf eine gepatchte und sichere VM.
Best practice: Rapidly apply security updates to VMs.
Detail: Enable Microsoft Defender for Cloud (Free tier or Standard tier) to identify missing security updates and apply them.
Best practice: Install the latest security updates.
Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Wenn Ihre in Azure gehosteten virtuellen Computer Anwendungen oder Dienste hosten, die über das Internet zugänglich sein sollen, müssen Sie beim Patchen aufmerksam sein. Beschränken Sie sich beim Patchen nicht nur auf das Betriebssystem. Ungepatchte Sicherheitsrisiken in Partneranwendungen können ebenfalls zu Problemen führen, die mit einer guten Patchverwaltung vermeidbar sind.
Best practice: Deploy and test a backup solution.
Detail: A backup needs to be handled the same way that you handle any other operation. Dies gilt für alle Systeme in Ihrer Produktionsumgebung, die sich bis in die Cloud erstreckt.
Für Test- und Entwicklungssysteme müssen Sicherungsstrategien mit Wiederherstellungsfunktionen verwendet werden, die sich an den Erfahrungen orientieren, die Benutzer bereits mit lokalen Umgebungen gemacht haben. In Azure verschobene Workloads sollten sich möglichst in die vorhandenen Sicherheitslösungen integrieren lassen. Or, you can use Azure Backup to help address your backup requirements.
Organisationen, die keine Softwareupdaterichtlinien erzwingen, sind anfälliger für Angreifer, die sich bekannte, bereits korrigierte Sicherheitslücken zunutze machen. Unternehmen müssen zur Erfüllung von Branchenbestimmungen nachweisen, dass sie gewissenhaft arbeiten und geeignete Sicherheitsmaßnahmen ergreifen, um die Sicherheit ihrer Workloads in der Cloud zu gewährleisten.
Bewährte Softwareupdatemethoden für herkömmliche Rechenzentren und Azure-IaaS sind sich in vielen Punkten ähnlich. Sie sollten Ihre aktuellen Softwareupdaterichtlinien evaluieren und virtuelle Computer in Azure mit einbeziehen.
Verwalten des Sicherheitsstatus Ihrer virtuellen Computer
Cyberbedrohungen entwickeln sich stetig weiter. Der Schutz Ihrer virtuellen Computer erfordert daher umfangreiche Überwachungsfunktionen, die Bedrohungen schnell erkennen, nicht autorisierte Zugriffe auf Ihre Ressourcen verhindern, Warnungen auslösen und falsch positive Ergebnisse verringern.
To monitor the security posture of your Windows and Linux VMs, use Microsoft Defender for Cloud. Zum Schutz Ihrer virtuellen Computer stehen Ihnen in Defender für Cloud folgende Funktionen zur Verfügung:
- Anwenden von Sicherheitseinstellungen des Betriebssystems mit empfohlenen Konfigurationsregeln.
- Ermitteln und Herunterladen sicherheitsrelevanter und wichtiger Updates, die möglicherweise noch fehlen.
- Bereitstellen von Empfehlungen zum Schutz von Endpunkten vor Schadsoftware.
- Überprüfen der Datenträgerverschlüsselung.
- Bewerten und Beseitigen von Sicherheitsrisiken.
- Detect threats.
Defender für Cloud kann aktiv nach Bedrohungen suchen und potenzielle Bedrohungen werden in Sicherheitswarnungen angezeigt. Korrelierte Bedrohungen werden in einer zentralen Ansicht namens „Sicherheitsvorfall“ aggregiert.
Defender für Cloud speichert Daten in Azure Monitor-Protokollen. Azure Monitor-Protokolle bietet eine Abfragesprache und eine Analyseengine, die Ihnen Einblicke in den Betrieb Ihrer Anwendungen und Ressourcen gibt. Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Dadurch erhalten Sie ein vollständiges Bild von Ihrer gesamten Umgebung.
Organisationen, die für ihre virtuellen Computer kein hohes Maß an Sicherheit erzwingen, bleiben potenzielle Vorfälle, bei denen nicht autorisierte Benutzer versuchen, die Sicherheitskontrollen zu umgehen, verborgen.
Überwachen der Leistung virtueller Computer
Ressourcenmissbrauch kann problematisch sein, wenn Prozesse von virtuellen Computern mehr Ressourcen beanspruchen als sie sollten. Leistungsprobleme bei einem virtuellen Computer können zu einer Dienstunterbrechung führen und gegen das Sicherheitsprinzip der Verfügbarkeit verstoßen. Dies ist besonders wichtig für virtuelle Computer, die IIS oder andere Webserver hosten, da hohe CPU-Auslastung oder Arbeitsspeichernutzung auf einen DoS-Angriff (Denial of Service) hinweisen. Der Zugriff auf virtuelle Computer muss nicht nur reaktiv – also wenn bereits ein Problem auftritt – sondern auch proaktiv anhand einer im Normalbetrieb ermittelten Baseline überwacht werden.
We recommend that you use Azure Monitor to gain visibility into your resource’s health. Azure Monitor umfasst:
- Protokolldateien zur Ressourcendiagnose: Ihre VM-Ressourcen werden überwacht und potenzielle Probleme erkannt, die unter Umständen Leistung und Verfügbarkeit beeinträchtigen.
- Azure-Diagnoseerweiterung: Stellt Überwachungs- und Diagnosefunktionen auf virtuellen Windows-Computern bereit. Diese Funktionen können Sie aktivieren, indem Sie die Erweiterung in die Azure Resource Manager-Vorlage einbeziehen.
Organisationen, die die Leistung virtueller Computer nicht überwachen, können nicht ermitteln, ob bestimmte Veränderungen bei Leistungsmustern normal sind. Wenn ein virtueller Computer mehr Ressourcen beansprucht als normal, kann dies auf einen Angriff über eine externe Ressource oder die Ausführung eines kompromittierten Prozesses auf diesem virtuellen Computer hindeuten.
Verschlüsseln Ihrer VHD-Dateien
Sie sollten Ihre virtuellen Festplatten (VHDs) verschlüsseln, um Ihr Startvolume und Ihre Datenvolumes im Ruhezustand im Speicher zu schützen, zusammen mit Ihren Verschlüsselungsschlüsseln und Geheimnissen.
Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für Windows-VMs unterstützen Sie beim Verschlüsseln der Datenträger Ihrer virtuellen IaaS-Computer auf Linux und Windows. Azure Disk Encryption uses the industry-standard DM-Crypt feature of Linux and the BitLocker feature of Windows to provide volume encryption for the OS and the data disks. Die Lösung ist in Azure Key Vault integriert, damit Sie die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement steuern und verwalten können. Diese Lösung stellt außerdem sicher, dass alle ruhenden Daten auf den Datenträgern der virtuellen Computer in Azure Storage verschlüsselt sind.
Folgende Methoden haben sich bei der Verwendung von Azure Disk Encryption bewährt:
Best practice: Enable encryption on VMs.
Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. Das Verwalten von Verschlüsselungsschlüsseln im Schlüsseltresor erfordert die Microsoft Entra-Authentifizierung. Erstellen Sie hierfür eine Microsoft Entra-Anwendung. Zu Authentifizierungszwecken können Sie die auf einem geheimen Clientschlüssel basierende Authentifizierung oder die auf einem Clientzertifikat basierende Microsoft Entra-Authentifizierung verwenden.
Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Fügen Sie Ihrem Schlüsseltresor einen KEK hinzu.
Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Sie können den KEK auch aus Ihrem lokalen Hardwaresicherheitsmodul (HSM) für die Schlüsselverwaltung importieren. Weitere Informationen finden Sie in der Key Vault-Dokumentation. Wenn ein Schlüsselverschlüsselungsschlüssel angegeben wird, verwendet Azure Disk Encryption diesen, um Verschlüsselungsgeheimnisse vor dem Schreiben in Key Vault zu umschließen. Zusätzlichen Schutz vor versehentlichem Löschen von Schlüsseln bietet das Hinterlegen einer Kopie dieses Schlüssels in einem lokalen Schlüsselverwaltungs-HSM.
Best practice: Take a snapshot and/or backup before disks are encrypted. Sicherungen bieten eine Wiederherstellungsoption, wenn während der Verschlüsselung ein unerwarteter Fehler auftritt.
Detail: VMs with managed disks require a backup before encryption occurs. After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. For more information about how to back up and restore encrypted VMs, see the Azure Backup article.
Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detail: Create and use a key vault that is in the same region as the VM to be encrypted.
Mit Azure Disk Encryption können Sie die folgenden geschäftlichen Anforderungen erfüllen:
- Virtuelle IaaS-Computer werden im Ruhezustand mit Verschlüsselungstechnologie nach Branchenstandard geschützt, um die Anforderungen an Unternehmenssicherheit und Compliance zu erfüllen.
- Virtuelle IaaS-Computer werden mit vom Kunden gesteuerten Schlüsseln und Richtlinien gestartet, und Sie können ihre Nutzung in Ihrem Schlüsseltresor überwachen.
Einschränken der direkten Internetverbindung
Überwachen Sie die direkte Internetverbindung von VMs und schränken Sie diese ein. Angreifer scannen ständig öffentliche Cloud-IP-Adressbereiche nach offenen Verwaltungsports und probieren „einfache“ Angriffe mittels häufig verwendeter Kennwörter und bekannter ungepatchter Sicherheitslücken. Die folgende Tabelle enthält bewährte Methoden zum Schutz vor diesen Angriffen:
Best practice: Prevent inadvertent exposure to network routing and security.
Detail: Use Azure RBAC to ensure that only the central networking group has permission to networking resources.
Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Detail: Use Microsoft Defender for Cloud. Defender für Cloud empfiehlt, den Zugriff über Endpunkte mit Internetverbindung einzuschränken, wenn für beliebige Ihrer Netzwerksicherheitsgruppen mindestens eine Eingangsregel gilt, die den Zugriff über „alle“ Quell-IP-Adressen zulässt. Defender for Cloud will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.
Best practice: Restrict management ports (RDP, SSH).
Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Wenn JIT aktiviert ist, sperrt Defender für Cloud den eingehenden Datenverkehr für Ihre virtuellen Azure-Computer, indem eine Netzwerksicherheitsgruppen-Regel erstellt wird. Sie wählen die Ports auf dem virtuellen Computer aus, für die eingehender Datenverkehr gesperrt wird. Diese Ports werden durch die JIT-Lösung gesteuert.
Next steps
Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.
Die folgenden Ressourcen enthalten allgemeinere Informationen zur Sicherheit in Azure und verwandten Microsoft-Diensten:
- Blog des Azure-Sicherheitsteams: Hier finden Sie Informationen über den aktuellen Stand der Azure-Sicherheit.
- Microsoft Security Response Center: Hier können Sie Microsoft-Sicherheitsrisiken, z.B. Probleme mit Azure, melden oder eine E-Mail an secure@microsoft.com schreiben.