Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure
Office 365
Lösungsmöglichkeiten
In diesem Artikel ist ein Lösungsvorschlag beschrieben. Ihr Cloudarchitekt kann diesen Leitfaden verwenden, um die Hauptkomponenten einer typischen Implementierung dieser Architektur zu visualisieren. Verwenden Sie diesen Artikel als Ausgangspunkt, um eine gut durchdachte Lösung zu entwerfen, die den spezifischen Anforderungen Ihrer Workload entspricht.
In diesem Artikel wird beschrieben, wie Sie die Kern-IT-Umgebung Ihrer Organisation darstellen und eine Bedrohungszuordnung erstellen. Diese Diagramme sind wertvolle Tools für die Planung und Erstellung einer robusten defensiven Sicherheitsebene. Das Verständnis Ihrer IT-Umgebung und ihrer Architektur ist entscheidend für die Identifizierung der Sicherheitsdienste, die für einen angemessenen Schutz erforderlich sind.
Computersysteme enthalten Informationen, die nicht nur für die Organisationen nützlich sind, die sie generieren, sondern auch für böswillige Akteure. Diese Akteure, ob Einzelpersonen oder Gruppen, engagieren sich an schädlichen Aktivitäten, die darauf abzielen, Computer, Geräte, Systeme und Netzwerke von Unternehmen zu gefährden oder zu beschädigen. Ihr Ziel ist es oft, vertrauliche Daten mithilfe von Bedrohungen wie Schadsoftware oder Brute-Force-Angriffen zu stehlen oder zu beschädigen.
In diesem Artikel untersuchen wir eine Methode zum Zuordnen von Bedrohungen zu Ihrer IT-Umgebung, mit der Sie die Implementierung von Microsoft-Sicherheitsdiensten im Rahmen Ihrer Sicherheitsstrategie planen können.
Die gute Nachricht ist, dass Sie keine Bedrohungszuordnung von Grund auf erstellen müssen. Die MITRE ATT&CK-Matrix bietet eine hervorragende Ressource, die Ihnen bei der Entwicklung hilft. MITRE ATT&CK ist eine globale Wissensdatenbank, die reale Bedrohungen auf der Grundlage beobachteter Taktiken und Techniken abbildet. Die MITRE Corporation dokumentiert jede bekannte Bedrohung detailliert und liefert wertvolle Einblicke in die Funktionsweise dieser Bedrohungen und wie Sie sich gegen sie verteidigen können. Diese öffentlich zugängliche Ressource ist online unter MITRE ATT&CK® verfügbar.
In diesem Artikel verwenden wir eine Teilmenge dieser Bedrohungen, um zu veranschaulichen, wie Sie Bedrohungen Ihrer IT-Umgebung zuordnen können.
Mögliche Anwendungsfälle
Einige Bedrohungen sind in allen Branchen üblich, z. B. Ransomware, DDoS-Angriffe, websiteübergreifende Skripterstellung und SQL-Einfügung. Viele Organisationen sehen sich jedoch spezifische Bedrohungen gegenüber, die für ihre Branche einzigartig sind oder auf früheren Cyberangriffen basieren, die sie entdeckt haben. Das Diagramm in diesem Artikel kann Ihnen helfen, diese Bedrohungen für Ihre Organisation zuzuordnen, indem sie die Bereiche identifizieren, die wahrscheinlich von böswilligen Akteuren bestimmt werden. Durch das Erstellen einer Bedrohungskarte können Sie die erforderlichen Verteidigungsebenen für eine sicherere Umgebung planen.
Sie können dieses Diagramm anpassen, um verschiedene Kombinationen von Angriffen zu modellieren und besser zu verstehen, wie sie verhindert und abgewehrt werden können. Obwohl das MITRE ATT&CK-Framework ein nützlicher Verweis ist, ist es nicht erforderlich. Microsoft Sentinel und andere Microsoft-Sicherheitsdienste arbeiten auch mit MITRE zusammen, um wertvolle Einblicke in verschiedene Bedrohungen zu bieten.
Einige Organisationen verwenden Cyber Kill Chain®, eine Methodik von Lockheed Martin, um zu erkennen und zu verstehen, wie ein Angriff oder eine Reihe von Angriffen gegen eine IT-Umgebung ausgeführt werden. Cyber Kill Chain organisiert Bedrohungen und Angriffe, indem weniger Taktiken und Techniken als das MITRE ATT&CK-Framework berücksichtigt werden. Dennoch ist es wirksam, Ihnen dabei zu helfen, Bedrohungen zu verstehen und wie sie ausgeführt werden können. Weitere Informationen zu dieser Methodik finden Sie unter Cyber Kill Chain.
Aufbau
Laden Sie eine Visio-Datei dieser Architektur herunter.
©2021 Die MITRE Corporation. Diese Arbeit wird reproduziert und mit der Erlaubnis der MITRE Corporation verteilt.
Für die IT-Umgebung von Organisationen geben wir die Komponenten nur für Azure und Microsoft 365 an. Ihre spezifische IT-Umgebung kann Geräte, Appliances und Technologien aus verschiedenen Technologieanbietern umfassen.
Für die Azure-Umgebung zeigt das Diagramm die Komponenten an, die in der folgenden Tabelle aufgeführt sind.
| Bezeichnung | Dokumentation |
|---|---|
| VNET | Was ist Azure Virtual Network? |
| LBS | Was versteht man unter Azure Load Balancer? |
| PIPS | Öffentliche IP-Adressen |
| SERVER | Virtuelle Computer |
| K8S | Azure Kubernetes-Dienst |
| VDI | Was ist Azure Virtual Desktop? |
| WEB-APPS | App Service-Übersicht |
| AZURE STORAGE | Einführung in Azure Storage |
| DB | Was ist Azure SQL-Datenbank? |
| Microsoft Entra-ID | Was ist Microsoft Entra ID? |
Das Diagramm stellt Microsoft 365 über die Komponenten dar, die in der folgenden Tabelle aufgeführt sind.
| Bezeichnung | BESCHREIBUNG | Dokumentation |
|---|---|---|
OFFICE 365 |
Microsoft 365-Dienste (früher Office 365). Die Anwendungen, die Microsoft 365 verfügbar macht, hängen von der Art der Lizenz ab. | Microsoft 365 – Abonnement für Office-Apps |
Microsoft Entra ID |
Microsoft Entra ID, dieselbe Instanz, die von Azure verwendet wird. Viele Unternehmen verwenden denselben Microsoft Entra-Dienst für Azure und Microsoft 365. | Was ist Microsoft Entra ID? |
Arbeitsablauf
Um zu verstehen, welcher Teil Ihrer IT-Umgebung von diesen Bedrohungen wahrscheinlich angegriffen wird, basiert das Architekturdiagramm in diesem Artikel auf einer typischen IT-Umgebung für ein Unternehmen, das über lokale Systeme, ein Microsoft 365-Abonnement und ein Azure-Abonnement verfügt. Die Ressourcen in jeder dieser Ebenen sind Dienste, die für viele Unternehmen gemeinsam sind. Sie sind im Diagramm gemäß den Säulen von Microsoft Zero Trust klassifiziert: Netzwerk, Infrastruktur, Endpunkt, Anwendung, Daten und Identität. Weitere Informationen zu Zero Trust finden Sie unter Proaktive Sicherheit mit Zero Trust umsetzen.
Das Architekturdiagramm enthält die folgenden Ebenen:
Lokal
Das Diagramm enthält einige wichtige Dienste wie Server (VMs), Netzwerkgeräte und Domain Name System (DNS). Es enthält allgemeine Anwendungen, die in den meisten IT-Umgebungen zu finden sind und auf virtuellen Computern (VMs) oder physischen Servern ausgeführt werden. Es umfasst auch verschiedene Typen von Datenbanken, sowohl SQL als auch Nicht-SQL. Organisationen verfügen in der Regel über einen Dateiserver, auf dem Dateien im gesamten Unternehmen freigegeben werden. Schließlich behandelt der Active Directory Domain Service, eine weit verbreitete Infrastrukturkomponente, Benutzeranmeldeinformationen. Das Diagramm enthält alle diese Komponenten in der lokalen Umgebung.
Office 365-Umgebung
In dieser Beispielumgebung sind herkömmliche Office-Anwendungen wie Word, Excel, PowerPoint, Outlook und OneNote enthalten. Je nach Lizenztyp kann es auch andere Anwendungen enthalten, z. B. OneDrive, Exchange, Sharepoint und Teams. Im Diagramm werden diese durch ein Symbol für Microsoft 365-Apps (ehemals Office 365) und ein Symbol für Microsoft Entra ID dargestellt. Benutzer*innen müssen authentifiziert werden, um Zugriff auf Microsoft 365-Anwendungen zu erhalten, und Microsoft Entra ID fungiert als Identitätsanbieter. Microsoft 365 authentifiziert Benutzer*innen mit derselben Microsoft Entra ID-Instanz, die Azure verwendet. In den meisten Organisationen ist der Microsoft Entra ID-Mandant für Azure und für Microsoft 365 identisch.
Azure-Umgebung
Diese Ebene stellt Azure Public Cloud Services dar, einschließlich VMs, virtuelle Netzwerke, Plattformen als Dienste, Webanwendungen, Datenbanken, Speicher, Identitätsdienste und vieles mehr. Weitere Informationen zu Azure finden Sie in der Azure-Dokumentation.
MITRE ATT&CK-Taktiken und -Techniken
Dieses Diagramm zeigt die 16 größten Bedrohungen nach den von The MITRE Corporation veröffentlichten Taktiken und Techniken. In roten Linien können Sie ein Beispiel für einen gemischten Angriff sehen, was bedeutet, dass ein böswilliger Akteur mehrere Angriffe gleichzeitig koordiniert.
Verwenden des MITRE ATT&CK-Frameworks
Sie können mit einer einfachen Suche nach dem Namen der Bedrohung oder des Angriffscodes auf der Hauptwebseite beginnen, MITRE ATT&CK®.
Sie können auch Bedrohungen auf den Seiten der Taktiken oder Techniken durchsuchen:
Sie können weiterhin MITRE ATT&CK® Navigator verwenden, ein intuitives Tool, das Ihnen hilft, Taktiken, Techniken und Details zu Bedrohungen zu entdecken.
Komponenten
Die Beispielarchitektur in diesem Artikel verwendet die folgenden Azure-Komponenten:
Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, der den sicheren Zugriff auf interne und externe Ressourcen ermöglicht. In dieser Architektur authentifiziert sie Benutzer für Azure- und Microsoft 365-Dienste. Sie dient als zentraler Identitätsanbieter in der gesamten Umgebung.
Azure Virtual Network ist ein Netzwerkdienst in Azure, der eine sichere Kommunikation zwischen Azure-Ressourcen, dem Internet und lokalen Netzwerken ermöglicht. In dieser Architektur bietet sie isolierte und skalierbare Netzwerkinfrastruktur für das Hosten von Workloads und das Erzwingen der Datenverkehrskontrolle.
Azure Load Balancer ist ein leistungsstarker Layer-4-Lastenausgleichsdienst für TCP-Datenverkehr (Transmission Control Protocol) und UDP-Datenverkehr (User Datagram Protocol). In dieser Architektur wird hohe Verfügbarkeit und Skalierbarkeit sichergestellt, indem eingehender und ausgehender Datenverkehr über VMs und Dienste verteilt wird.
Azure Virtual Machines ist eine Infrastruktur als Dienst (IaaS), die flexible, On-Demand-Computeressourcen bereitstellt. In dieser Architektur hosten VMs Anwendungen und Dienste, die Teil der IT-Umgebung der Organisation sind und der Bedrohungszuordnung unterliegen.
Azure Kubernetes-Dienst (AKS) ist ein verwalteter Kubernetes-Dienst zum Bereitstellen und Verwalten von containerisierten Anwendungen. In dieser Architektur werden containerisierte Anwendungen ausgeführt und sicherheits- und governance auf Unternehmensniveau als Teil der Bedrohungsoberfläche unterstützt.
Virtual Desktop ist ein Desktop- und App-Virtualisierungsdienst, der in der Cloud ausgeführt wird, um Desktops für Remotebenutzer bereitzustellen. In dieser Architektur bietet sie sicheren Zugriff für Remotebenutzer und ist als potenzieller Angriffsvektor in der Bedrohungszuordnung enthalten.
Das Web-Apps-Feature von Azure App Service hostt Webanwendungen, REST-APIs und mobile Back-Ends. Sie können sich in Ihrer gewählten Sprache entwickeln. Anwendungen können in Windows- und Linux-basierten Umgebungen problemlos ausgeführt und skaliert werden. In dieser Architektur hostet Web Apps HTTP-basierte Anwendungen, die über integrierte Sicherheitsfeatures wie Transport Layer Security (TLS) und private Endpunkte geschützt sind.
Azure Storage ist ein skalierbarer und sicherer Speicherdienst für verschiedene Datenobjekte in der Cloud, einschließlich Objekt, Blob, Datei, Datenträger, Warteschlange und Tabellenspeicher. Azure Storage verschlüsselt alle Daten, die in ein Speicherkonto geschrieben wurden. Es bietet eine differenzierte Kontrolle über den Zugriff auf Ihre Daten. In dieser Architektur speichert sie Anwendungs- und Systemdaten und ist aufgrund ihrer Rolle im Datenschutz und der Zugriffssteuerung in der Bedrohungszuordnung enthalten.
SQL-Datenbank ist ein verwaltetes relationales Datenbankmodul, das Patching, Sicherungen und Überwachung automatisiert. In dieser Architektur werden strukturierte Daten gespeichert und integrierte Sicherheits- und Compliancefeatures unterstützt, um Bedrohungen zu mindern.
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- Rudnei Oliveira | Senior Azure Security Engineer
Andere Mitwirkende:
- Gary Moore | Programmierer/Autor
- Andrew Jason | Senior Customer Engineering Manager
Nächste Schritte
Dieses Dokument bezieht sich auf einige Dienste, Technologien und Terminologie. Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:
- MITRE ATT&CK®
- ATT&CK® Navigator)
- Die Cyber Kill Chain®
- Sicherheit mit Zero Trust proaktiv umsetzen
- Gemischte Bedrohungen auf Wikipedia
- Wie Cyberangriffe sich nach dem neuen Microsoft Digital Defense Report ändern aus dem Microsoft Security Blog
Zugehörige Ressourcen
Weitere Informationen zu dieser Referenzarchitektur finden Sie in den anderen Artikeln dieser Reihe: