Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure bietet umfassende Sicherheitsdienste und Technologien auf allen Ebenen Ihrer Cloudbereitstellungen. In diesem Artikel werden die wichtigsten Sicherheitsfunktionen vorgestellt, die nach Domäne organisiert sind, mit Links zu detaillierten Übersichtsartikeln, um weitere Informationen zu erhalten.
Spezifische bewährte Methoden für die Sicherheit und detaillierte Implementierungsanleitungen finden Sie in den domänenspezifischen Übersichtsartikeln, die in diesem Dokument verknüpft sind.
Identitäts- und Zugriffsverwaltung
| Dienst | BESCHREIBUNG |
|---|---|
| Microsoft Entra-ID | Cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, der einmaliges Anmelden (Single Sign-On, SSO), mehrstufige Authentifizierung (MFA), bedingter Zugriff und kennwortlose Authentifizierung unterstützt. |
| Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) | Feinkörnige Zugriffsverwaltung mit integrierten und benutzerdefinierten Rollen, die in der Verwaltungsgruppe, im Abonnement, in der Ressourcengruppe oder im Ressourcenbereich zugewiesen werden können. |
| Microsoft Entra Privileged Identity Management | Just-in-time privilegierter Zugriff auf Azure- und Microsoft Entra-Rollen mit Genehmigungsworkflows, Zugriffsüberprüfungen und Audit-Historie. |
| Microsoft Entra-Zugriffsüberprüfungen | Geplante Überprüfungen von Gruppenmitgliedschaften, Anwendungszugriff und Rollenzuweisungen mit automatisierten Empfehlungen und Korrekturen. |
| Microsoft Entra-Anwendungsproxy | Sichern sie den Remotezugriff auf lokale Webanwendungen ohne VPN, indem Sie die Microsoft Entra-Authentifizierung und bedingten Zugriff verwenden. |
| Microsoft Entra Connect / Cloud Sync | Hybrididentitätssynchronisierung zwischen lokalem Active Directory und Microsoft Entra ID für einheitliche Identitätsverwaltung. |
Detaillierte Identitätssicherheitsfunktionen und bewährte Methoden finden Sie unter Azure Identity Management Security Overview.
Netzwerksicherheit
| Dienst | BESCHREIBUNG |
|---|---|
| Virtuelles Azure-Netzwerk | Isoliertes privates Netzwerk mit Subnetzen, Routingtabellen und DNS-Einstellungen. Grundlage für die gesamte Azure-Netzwerksicherheit. |
| Netzwerksicherheitsgruppen (NSGs) | Zustandsbehaftete Paketfilterung mit 5-Tupel-Regeln, Diensttags und Anwendungs-Sicherheitsgruppen für eine granulare Zugriffssteuerung. |
| Azure Firewall | Cloud-native Zustandsfirewall mit integrierter hoher Verfügbarkeit. Standard-SKU bietet L3-L7 Filterung; Premium-SKU fügt IDPS und TLS-Inspektion hinzu. |
| Webanwendungs-Firewall (WAF) | Zentralisierter Schutz vor OWASP Top 10-Sicherheitsrisiken, SQL-Einfügung, Websiteübergreifendes Skripting und Botangriffen. |
| Azure DDoS Protection | Durchgehende Datenverkehrsüberwachung mit adaptiver Optimierung, Echtzeit-Abwehr und Angriffsanalyse für volumetrische und Protokollangriffe. |
| Azure Private Link | Private Konnektivität mit Azure PaaS-Diensten über einen privaten Endpunkt in Ihrem virtuellen Netzwerk, wodurch die Exposition gegenüber dem öffentlichen Internet beseitigt wird. |
| Virtual Network-Dienstendpunkte | Direkte Konnektivität mit Azure-Diensten über das Azure-Backbone-Netzwerk, schränkt nur den Zugriff auf Ihre virtuellen Netzwerke ein. |
| Azure VPN-Gateway | Verschlüsselte lokale Konnektivität mithilfe von IPsec/IKE VPN-Tunneln für Standort-zu-Standort- und Point-to-Site-Verbindungen. |
| Azure ExpressRoute | Dedizierte private WAN-Verbindung mit Microsoft-Clouddiensten, um das öffentliche Internet für erhöhte Sicherheit und Zuverlässigkeit zu umgehen. |
| Azure-Anwendungsgateway | Layer 7 Load Balancer mit TLS-Beendigung, cookiebasierter Sitzungsaffinität, URL-basiertem Routing und integrierter WAF. |
| Azure Front Door | Globaler HTTP-Lastenausgleich mit Edgebeschleunigung, integriertem WAF, DDoS-Schutz auf Plattformebene und Private Link-Back-End-Ursprünge. |
| Azure Network Watcher | Netzwerküberwachung, Diagnose und Sicherheitsanalyse, einschließlich NSG-Flussprotokollen, Paketerfassung und Verbindungsproblembehandlung. |
Umfassende Richtlinien und bewährte Methoden zur Netzwerksicherheit finden Sie in der Übersicht über die Azure-Netzwerksicherheit.
Datenverschlüsselung
| Dienst | BESCHREIBUNG |
|---|---|
| Azure Storage Service Encryption | Automatische AES 256-Verschlüsselung für alle ruhenden Daten im Azure Blob Storage, Azure Files, Warteschlangenspeicher und Tabellenspeicher. |
| Transparente Datenverschlüsselung (Azure SQL Database Transparent Data Encryption, TDE) | Echtzeitverschlüsselung von Datenbanken, Sicherungen und Transaktionsprotokollen im Ruhezustand. Standardmäßig aktiviert mit Unterstützung für vom Kunden verwaltete Schlüssel. |
| Immer verschlüsselt | Clientseitige Verschlüsselung für Azure SQL-Datenbank, um sicherzustellen, dass Daten während des gesamten Lebenszyklus verschlüsselt bleiben, auch von Datenbankadministratoren. |
| Azure-Datenträgerverschlüsselung | Verschlüsselung für Betriebssystem- und Datendatenträger mit plattformverwalteten Schlüsseln, vom Kunden verwalteten Schlüsseln oder doppelter Verschlüsselung mit beiden. |
| Azure Cosmos DB-Verschlüsselung | Automatische Verschlüsselung im Ruhezustand mithilfe von dienstverwalteten Schlüsseln mit optionaler Unterstützung für vom Kunden verwalteter Schlüssel (CMK). |
| Azure Data Lake-Verschlüsselung | Transparente ruhende Verschlüsselung ist standardmäßig mit Optionen für von Microsoft verwaltete oder vom Kunden verwaltete Schlüssel aktiviert. |
| TLS-Verschlüsselung während der Übertragung | Transport Layer Security (TLS 1.2+) für alle Azure-Dienstkommunikationen mit perfect Forward Secrecy (PFS). |
| MACsec-Datenverknüpfungsverschlüsselung | Point-to-Point-Verschlüsselung mit IEEE 802.1AE für den gesamten Azure-Datenverkehr zwischen Rechenzentren. |
Ausführliche Verschlüsselungsoptionen und bewährte Methoden finden Sie in der Azure-Verschlüsselungsübersicht.
Schlüssel- und Geheimnisverwaltung
| Dienst | BESCHREIBUNG |
|---|---|
| Azure Key Vault | Sicherer Speicher für Schlüssel, geheime Schlüssel und Zertifikate mit FIPS 140-2 Level 1 (Standardebene) oder FIPS 140-3 Level 3 (Premium-Stufe mit HSM)-Validierung. |
| Verwaltetes Azure Key Vault-HSM | Einzelmandant, FIPS 140-3 Level 3 validierter HSM-Service, der volle Kundenkontrolle mit vertraulicher Schlüsselunterstützung bietet. Integriert in Azure PaaS-Dienste. |
| Azure Cloud HSM | Vollverwalteter, FIPS 140-3 Ebene 3 validierter HSM-Cluster, der PKCS#11, SSL/TLS-Entlastung und lokale Migrationsszenarien unterstützt. Nur IaaS. |
| Azure Payment HSM | Einzelmandant, FIPS 140-2 Level 3 validiert, PCI HSM v3-kompatible HSM für Zahlungsverarbeitungsvorgänge. |
Umfassende Schlüsselverwaltungsoptionen finden Sie unter Schlüsselverwaltung in Azure.
Bedrohungserkennung und -reaktion
| Dienst | BESCHREIBUNG |
|---|---|
| Microsoft Defender für Cloud | Einheitliche Cloudsicherheit mit Haltungsmanagement (CSPM), Workload Protection (CWP) und erweiterter Bedrohungserkennung in Azure, AWS, GCP und Hybridumgebungen. Integriert in das Microsoft Defender-Portal. |
| Microsoft Sentinel | Cloud-native SIEM- und SOAR-Lösung mit Maschinellem Lernen, Benutzer- und Entitätsverhaltensanalysen (UEBA), Threat Intelligence-Integration und automatisierten Playbooks. |
| Microsoft Entra ID-Schutz | Risikobasierter Identitätsschutz, der anomale Anmeldeverhalten und kompromittierte Konten mithilfe von maschinellem Lernen erkennt. |
| Microsoft Defender für Cloud-Apps | Cloud Access Security Broker (CASB) bietet Sichtbarkeit, Datenkontrolle und Bedrohungsschutz für Cloudanwendungen, einschließlich Schatten-IT-Ermittlung. |
| Microsoft Antischadsoftware für Azure | Echtzeitschutz, geplante Überprüfung und automatische Schadsoftwarekorrektur für Azure Cloud Services und virtuelle Computer. |
Umfassende Informationen zu Bedrohungserkennungsfunktionen und bewährten Methoden finden Sie unter Azure Threat Protection.
Plattformintegrität
| Dienst | BESCHREIBUNG |
|---|---|
| Firmwaresicherheit | Sichere Lieferketten- und Firmwareintegritätsüberprüfung für Azure-Hardware von der Herstellung über die Bereitstellung. |
| sicherer UEFI-Start | Stellt sicher, dass nur signierte Betriebssysteme und Treiber gestartet werden können, wodurch ein Schutz vor Schadsoftware auf Firmwareebene gewährleistet wird. |
| Plattformcodeintegrität | Codeintegritätsrichtlinien, die den gesamten Code vor der Ausführung in der Azure-Infrastruktur überprüfen. |
| Gemessener Start und Host-Attestierung | Kryptografische Verifizierung der Startsequenz, um sicherzustellen, dass Hosts sich in einem sicheren und vertrauenswürdigen Zustand befinden. |
| Projekt Cerberus | Hardware-Vertrauenswurzel zur Bereitstellung von Plattformidentitäts- und Integritätsüberprüfung. |
| Hypervisorsicherheit | Gehärteter Hypervisor mit starker Isolation zwischen virtuellen Computern und der Hostumgebung. |
Ausführliche Informationen zur Plattformsicherheitsarchitektur finden Sie unter Azure-Plattformintegrität und Sicherheitsübersicht.
Sicherheit virtueller Computer
| Dienst | BESCHREIBUNG |
|---|---|
| Vertrauenswürdiger Start | Standard für Gen2-VMs mit sicherer Start-, vTPM- und Boot Integrity Monitoring-Schutz vor Boot Kits, Rootkits und Schadsoftware auf Kernelebene. |
| Confidential Computing in Azure | Hardwarebasierte vertrauenswürdige Ausführungsumgebungen (TEE) mit AMD SEV-SNP oder Intel TDX zum Schutz während der Nutzung. |
| Vertrauliche virtuelle Computer | Vollständige VM-Speicherverschlüsselung mit hardwaregestützter Isolation vom Hypervisor und Hostverwaltungscode. |
| Microsoft Defender für Server | Bedrohungserkennung mit Microsoft Defender für Endpunkt-Integration, Sicherheitsrisikobewertung, Just-in-Time-VM-Zugriff und Dateiintegritätsüberwachung. |
| Just-in-Time(JIT)-VM-Zugriff | Reduziert die Angriffsfläche, indem eingehender Datenverkehr gesperrt und zeitlich begrenzter Zugriff auf Verwaltungsports bei Bedarf ermöglicht wird. |
| Adaptive Anwendungssteuerungen. | Anwendungs-Whitelisting auf Basis von maschinellem Lernen zur Steuerung, welche Anwendungen auf Ihren VMs ausgeführt werden dürfen. |
| Azure Backup | Unabhängige, isolierte Sicherungen mit Ransomware-Schutz, vorläufiges Löschen und Recovery Services-Tresort-Management. |
| Azure Site Recovery | Notfallwiederherstellungs-Orchestrierung für Replikation, Failover und Wiederherstellung auf Azure oder einen sekundären Standort. |
Umfassende Sicherheitsfeatures und Anleitungen für virtuelle Computer finden Sie in der Sicherheitsübersicht zu Azure Virtual Machines.
Containersicherheit
| Dienst | BESCHREIBUNG |
|---|---|
| Microsoft Defender für Container | Laufzeitschutz, Sicherheitsrisikobewertung und Kubernetes-Bedrohungserkennung über AKS-, EKS-, GKE- und lokale Cluster hinweg. |
| Azure Container Registry | Verwaltete Containerregistrierung mit Sicherheitsrisikoüberprüfung, Inhaltsvertrauensstellung (Imagesignierung), Georeplikation und privaten Endpunkten. |
| Azure Kubernetes Service (AKS)-Sicherheit | Verwaltetes Kubernetes mit Microsoft Entra-Integration, Azure RBAC, Netzwerkrichtlinien, Pod-Sicherheit und Geheimnisverwaltung. |
| Vertrauliche Container auf ACI | Hardwarebasierter TEE-Schutz mit AMD SEV-SNP mit prüfbaren Ausführungsrichtlinien und Remotenachweis. |
| Gated-Bereitstellung in Kubernetes | Die Zugriffskontrolle verhindert die Bereitstellung von Containerimages, die gegen Sicherheitsregeln im Überwachungs- oder im Verweigerungsmodus verstoßen. |
| Scannen von Containerimages | Agentenlose Schwachstellenanalyse für Container-Images in Registries und Laufzeit-Container in AKS-Clustern. |
Umfassende Anleitungen zur Containersicherheit finden Sie unter Containersicherheit in Microsoft Defender für Cloud.
Datenbanksicherheit
| Dienst | BESCHREIBUNG |
|---|---|
| Azure SQL-Datenbanksicherheit | Umfassende Sicherheit mit Netzwerkisolation, Microsoft Entra-Authentifizierung, TDE-Verschlüsselung, Always Encrypted und Überwachung. |
| Microsoft Defender für SQL | Advanced Threat Protection erkennt SQL-Injection, Brute-Force-Angriffe, anomale Aktivitäten und Verwundbarkeitsausnutzungen. |
| SQL-Sicherheitsrisikobewertung | Ermittelt, verfolgt und hilft bei der Behebung von Datenbanksicherheitsrisiken mit handlungsrelevanten Sicherheitsempfehlungen.Discovers, track, and helps remediate database vulnerabilities with actionable security recommendations. |
| Sicherheit auf Zeilenebene (RLS) | Beschränkt den Zeilenzugriff basierend auf Benutzeridentität, Rolle oder Ausführungskontext für eine differenzierte Datenzugriffskontrolle. |
| Dynamische Datenmaskierung | Maskiert vertrauliche Daten für Nicht-privilegierte Benutzer, ohne die zugrunde liegenden Daten zu ändern, wodurch das Risiko der Exposition verringert wird. |
| Azure SQL-Datenbank-Hauptbuch | Manipulationsnachweisbare Funktionen mit unveränderlichen Transaktionsdatensätzen zur Überprüfung der Datenintegrität und Einhaltung von Vorschriften. |
| Azure Cosmos DB-Sicherheit | Verschlüsselung im Ruhezustand und während der Übertragung, Netzwerkisolation, RBAC und Audit-Logging für NoSQL- und Multimodellworkloads. |
Eine umfassende Prüfliste zur Datenbanksicherheit finden Sie in der Sicherheitsprüfliste für Azure-Datenbanken.
DevOps-Sicherheit
| Dienst | BESCHREIBUNG |
|---|---|
| Microsoft Defender für DevOps | Einheitliche DevOps-Sicherheit, die Azure DevOps und GitHub mit Code-Überprüfung, Infrastruktur-als-Code (IaC) Überprüfung und Geheimniserkennung verbindet. |
| GitHub-Advanced-Security-Integration | Code-zu-Cloud-Sicherheitsrisikoverfolgung mit Priorisierung des Laufzeitkontexts und KI-unterstützte Copilot Autofix-Fehlerbehebung. |
| Scannen von In-Pipeline-Containern | CLI-basierte Überprüfung von Container-Schwachstellen während CI/CD-Workflows mit Echtzeitfeedback vor dem Push in das Registry. |
| Überprüfung von Abhängigkeitsrisiken | Trivy-basierte Erkennung von Sicherheitslücken im Betriebssystem und in Bibliotheksrisiken in GitHub- und Azure DevOps-Repositorys. |
Bewährte Methoden für DevOps-Sicherheit finden Sie unter DevOps-Sicherheit in Defender für Cloud.
Überwachung und Governance
| Dienst | BESCHREIBUNG |
|---|---|
| Azure Monitor. | Umfassende Überwachung mit Metriken, Protokollen, Log Analytics-Arbeitsbereichen, Application Insights, Warnungen und Arbeitsmappen. |
| Azure-Richtlinie | Der Governance-Dienst setzt Organisationsstandards durch Richtliniendefinitionen, Initiativen, Berichte zur Compliance und automatische Behebung um. |
| Einhaltung gesetzlicher Vorschriften in Microsoft Defender für die Cloud | Integrierte und benutzerdefinierte Compliancebewertungen, die mit dem Microsoft Cloud Security Benchmark, ISO 27001, NIST, PCI DSS und anderen Standards übereinstimmen. |
| Azure-Aktivitätsprotokoll | Audit-Protokollaufzeichnung auf Abonnementebene für Verwaltungsvorgänge, Ereignisse zur Dienstgesundheit und Ressourcenänderungen mit einer Aufbewahrung von 90 Tagen. |
| Azure Update Manager | Einheitliche Patchverwaltung für Windows- und Linux-VMs in Azure, lokal und multicloud mit geplantem Patching und Hotpatching. |
| Azure Resource Graph | Schnelle abonnementsübergreifende Abfragen, um Ressourcen mit bestimmten Konfigurationen oder Sicherheitsprofilen in großem Umfang zu identifizieren. |
| Microsoft Cost Management | Kostenüberwachung, Budgets und Anomalieerkennung zur Identifizierung nicht autorisierter Ressourcenbereitstellungen, die auf Sicherheitsvorfälle hinweisen können. |
Detaillierte Sicherheitsverwaltungsfunktionen und bewährte Methoden finden Sie unter Azure Security Management and Monitoring Overview.
Backup und Notfallwiederherstellung
| Dienst | BESCHREIBUNG |
|---|---|
| Azure Backup | Unabhängige, isolierte Sicherungen mit null Kapitalinvestition, Ransomware-Schutz, Soft-Löschung und regionsübergreifende Wiederherstellung. |
| Azure Site Recovery | Orchestrierung von Geschäftskontinuität und Notfallwiederherstellung (BCDR) für Replikation, Failover und Wiederherstellung in Azure oder einem sekundären Standort. |
Umfassende Anleitungen zur Sicherung finden Sie in der Azure Backup-Dokumentation.
PaaS-Bereitstellungssicherheit
Anleitungen zum Sichern von Plattform-as-a-Service-Bereitstellungen, einschließlich App Service, Azure Functions und Containerdiensten, finden Sie unter Sichern von PaaS-Bereitstellungen.
Nächste Schritte
- End-to-End-Sicherheit in Azure – Umfassende Übersicht über die Sicherheitsarchitektur und -funktionen von Azure
- Bewährte Methoden und Muster der Azure-Sicherheit – Sammlung bewährter Sicherheitsmethoden für verschiedene Szenarien
- Microsoft Cloud Security Benchmark – Umfassende Sicherheitsleitfaden für Azure-Dienste
- Gemeinsame Verantwortung in der Cloud – Grundlegendes zu den von Ihnen und Microsoft geteilten Sicherheitsaufgaben