Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Entwurfsbereich legt das Fundament für die Sicherheit in Ihren Azure-, Hybrid- und Multi-Cloud-Umgebungen. Sie können diese Grundlage später mit sicherheitsrelevanten Anleitungen verbessern, die in der sicheren Methodik des Cloud Adoption Framework beschrieben sind.
Hinweise zum Entwurfsbereich
Involvierte Rollen oder Funktionen: Dieser Entwurfsbereich wird von Cloudsicherheit geleitet, insbesondere von den Sicherheitsarchitekten innerhalb dieses Teams. Die Cloudplattform ist erforderlich, um Netzwerk- und Identitätsentscheidungen zu überprüfen. Diese kollektiven Rollen müssen möglicherweise die technischen Anforderungen aus dieser Übung definieren und implementieren. Erweiterte Sicherheitsleitplanken benötigen möglicherweise auch Unterstützung von der Cloud-Governance.
Umfang: Ziel dieser Übung ist es, sicherheitsrelevante Anforderungen zu verstehen und einheitlich für alle Workloads in Ihrer Cloudplattform zu implementieren. Der Hauptfokus dieser Übung liegt auf Sicherheitstools und der Zugriffssteuerung. Dieser Teil umfasst Zero Trust und erweiterte Netzwerksicherheit.
Außerhalb des Gültigkeitsbereichs: Diese Übung konzentriert sich auf die Grundlage für ein modernes Security Operations Center in der Cloud. Um die Unterhaltung zu optimieren, adressiert diese Übung nicht einige der Disziplinen in der CAF Secure-Methodik. Sicherheitsprozesse, Ressourcenschutz und Innovationssicherheit bauen auf Ihrer Azure-Zielzonenbereitstellung auf. In dieser Besprechung des Entwurfsbereich werden sie jedoch nicht berücksichtigt.
Übersicht über den Entwurfsbereich
Sicherheit ist ein zentrales Anliegen aller Kund*innen in jeder Umgebung. Beim Entwerfen und Implementieren einer Azure-Zielzone sollte die Sicherheit bei jedem Schritt berücksichtigt werden.
Im Sicherheitsentwurfsbereich finden Sie Hinweise und Empfehlungen für Entscheidungen zu Zielzonen. Die sichere Methodik des Cloud Adoption Framework bietet auch weitere detaillierte Anleitungen für ganzheitliche Sicherheitsprozesse und -tools.
Neue Cloudumgebung (grünes Feld): Informationen zum Starten Ihrer Cloud-Reise mit einer kleinen Gruppe von Abonnements finden Sie unter Erstellen Ihrer ersten Azure-Abonnements. Ziehen Sie außerdem die Verwendung von Bicep-Bereitstellungsvorlagen in Betracht, um Ihre Azure-Zielzonen zu gestalten. Weitere Informationen finden Sie unter Azure Landing Zones Bicep – Deployment Flow.
Vorhandene (Brownfield)-Cloudumgebung: Erwägen Sie die Verwendung der folgenden Microsoft Entra-Identitäts - und Zugriffsdienste, wenn Sie die Prinzipien aus dem Sicherheitsentwurfsbereich auf vorhandene Azure-Umgebungen anwenden möchten:
- Stellen Sie die Microsoft Entra Connect-Cloudsynchronisierung bereit, um Ihre lokalen Active Directory Domain Services (AD DS)-Benutzer mit sicherem einmaligem Anmelden (Single Sign-On, SSO) für Ihre microsoft Entra-ID-gesicherten Anwendungen bereitzustellen. Ein weiterer Vorteil beim Konfigurieren der Hybrididentität besteht darin, dass Sie die mehrstufige Microsoft Entra-Authentifizierung (MFA) und microsoft Entra Password Protection erzwingen können, um diese Identitäten weiter zu schützen.
- Erwägen Sie den bedingten Zugriff von Microsoft Entra , um sichere Authentifizierung für Ihre Cloud-Apps und Azure-Ressourcen bereitzustellen.
- Implementieren Sie Microsoft Entra Privileged Identity Management , um den Zugriff auf geringste Rechte und umfassende Berichte in Ihrer gesamten Azure-Umgebung sicherzustellen. Teams sollte mit wiederkehrenden Zugriffsüberprüfungen beginnen, um sicherzustellen, dass die richtigen Personen und Dienstprinzipale über aktuelle und korrekte Autorisierungsstufen verfügen.
- Nutzen Sie die Empfehlungen, Warnungen und Wartungsfunktionen von Microsoft Defender für Cloud. Ihr Sicherheitsteam kann Microsoft Defender für Cloud auch in Microsoft Sentinel integrieren, wenn sie eine robustere, zentral verwaltete Hybrid- und Multicloud Security Information Event Management (SIEM)/Security Orchestration and Response (SOAR)-Lösung benötigen.
Das Repository Azure Landing Zones Bicep – Deployment Flow enthält eine Reihe von Bicep-Bereitstellungsvorlagen, die Ihre Greenfield- und Brownfield-Bereitstellungen für Azure Landing Zones beschleunigen können. In diese Vorlagen sind bereits bewährte Sicherheitsleitlinien von Microsoft integriert.
Weitere Informationen zum Arbeiten in Brownfield Cloud-Umgebungen finden Sie unter Überlegungen zur Brownfield-Umgebung.
Microsoft Cloud Security Benchmark
Der Microsoft-Cloudsicherheitsbenchmark enthält hochgradig wirkungsvolle Sicherheitsempfehlungen, mit denen Sie die meisten Ihrer in Azure verwendeten Dienste schützen können. Sie können sich diese Empfehlungen als allgemein oder organisationsbedingt vorstellen, da sie für die meisten Azure-Dienste gelten. Die Empfehlungen des Microsoft-Cloudsicherheitsbenchmarks werden dann für jeden Azure-Dienst angepasst. Diese angepasste Anleitung ist in den Artikeln zu Dienstempfehlungen enthalten.
In der Dokumentation zu den Empfehlungen des Microsoft-Cloudsicherheitsbenchmarks werden Sicherheitskontrollen und Dienstempfehlungen angegeben.
- Sicherheitskontrollen: Die Empfehlungen der Microsoft-Cloudsicherheits-Benchmarks werden nach Sicherheitskontrollen kategorisiert. Sicherheitskontrollen stellen allgemeine herstellerunabhängige Sicherheitsanforderungen dar, z. B. Netzwerksicherheit und Datenschutz. Jedes Sicherheitskontrollelement enthält eine Reihe von Sicherheitsempfehlungen und Anweisungen, mit denen Sie diese Empfehlungen implementieren können.
Azure-Nachweis
Der Azure-Nachweis ist ein Tool, mit dem Sie die Sicherheit und Integrität Ihrer Plattform und Binärdateien sicherstellen können, die darin ausgeführt werden. Das ist besonders hilfreich für Unternehmen, die hochgradig skalierbare Computeressourcen und eine kompromisslose Vertrauensstellung über die Remotenachweisfunktion brauchen.
Hinweise zum Sicherheitsentwurf
Eine Organisation muss Einblick in die Vorgänge in ihrer Cloudtechnik haben. Die Sicherheitsüberwachung und Überwachungsprotokollierung der Dienste auf der Azure-Plattform ist eine wesentliche Komponente eines skalierbaren Frameworks.
Hinweise zum Entwurf von Sicherheitsprozessen
| `Scope` | Kontext |
|---|---|
| Sicherheitswarnungen | – Welche Teams benötigen Benachrichtigungen für Sicherheitswarnungen? – Gibt es Gruppen von Diensten, für die Warnungen an verschiedene Teams weitergeleitet werden müssen? – Geschäftsanforderungen für Echtzeitüberwachung und -warnungen. – Integration von Sicherheitsinformationen Security-Information-and-Event-Management-Lösungen (SIEM) in Microsoft Defender für Cloud und Microsoft Sentinel |
| Sicherheitsprotokolle | – Datenaufbewahrungszeiträume für Auditdaten. Microsoft Entra ID P1- oder P2-Berichte werden 30 Tage lang aufbewahrt. – Langfristige Archivierung von Protokollen wie Azure-Aktivitätsprotokollen, VM-Protokollen und Platform as a Service-Protokollen (PaaS) |
| Sicherheitskontrollen | – Grundlegende Sicherheitskonfiguration über eine Azure-Gast-VM-Richtlinie – Überlegen Sie, wie sich Ihre Sicherheitskontrollen mit den Governanceleitplanken in Einklang bringen lassen. |
| Verwaltung von Sicherheitsrisiken | – Notfallpatches für kritische Sicherheitsrisiken – Patches für VMs, die über längere Zeiträume offline sind – Beurteilung des Sicherheitsrisikos von VMs |
| Gemeinsame Verantwortung | – Wo erfolgen die Übergaben bei Teamzuständigkeiten? Diese Zuständigkeiten müssen bei der Überwachung von oder Reaktion auf Sicherheitsereignisse berücksichtigt werden. – Berücksichtigen Sie die Anleitungen in der Sicheren Methodik für Sicherheitsvorgänge. |
| Verschlüsselung und Schlüssel | – Wer benötigt Zugriff auf Schlüssel in der Umgebung? – Wer wird für die Verwaltung der Schlüssel verantwortlich sein? – Erkunden Sie Verschlüsselung und Schlüssel weiter. |
| Nachweis | – Verwenden Sie den vertrauenswürdigen Start für Ihre VMs und brauchen Sie einen Nachweis über die Integrität der gesamten Startkette Ihrer VM (UEFI, Betriebssystem, System und Treiber)? – Möchten Sie die Verschlüsselung vertraulicher Datenträger für Ihre vertraulichen VMs nutzen? – Benötigen Ihre Workloads einen Nachweis, dass sie in einer vertrauenswürdigen Umgebung ausgeführt werden? |
Entwurfsempfehlungen für Sicherheitsprozesse
Verwenden Sie die Microsoft Entra ID-Berichterstellungsfunktionen , um Überwachungsberichte zur Zugriffssteuerung zu generieren.
Exportieren Sie Azure-Aktivitätsprotokolle für die langfristige Datenaufbewahrung nach Azure Monitor Logs. Exportieren Sie sie in Azure Storage, falls eine langfristige Aufbewahrung von über zwei Jahren erforderlich ist.
Aktivieren Sie Defender for Cloud Standard für alle Abonnements, und verwenden Sie Azure-Richtlinie, um die Compliance sicherzustellen.
Überwachen Sie Abweichungen bei Patches des Basisbetriebssystems mit Azure Monitor Logs und Microsoft Defender für Cloud.
Nutzen Sie Azure-Richtlinien zur automatischen Bereitstellung von Softwarekonfigurationen mithilfe von VM-Erweiterungen und zur Erzwingung einer konformen VM-Basiskonfiguration.
Überwachen Sie Abweichungen bei der VM-Sicherheitskonfiguration mittels Azure Policy.
Verbinden Sie Standardressourcenkonfigurationen mit einem zentralen Log Analytics-Arbeitsbereich von Azure Monitor.
Verwenden Sie eine auf Azure Event Grid basierende Lösung für protokollorientierte Echtzeitwarnungen.
Verwenden Sie den Azure Attestation für den Nachweis von:
- Integrität der gesamten Startkette Ihrer VM. Weitere Informationen finden Sie in der Übersicht über die Startintegritätsüberwachung.
- Sichere Freigabe von Schlüssel für vertrauliche Datenträger für eine vertrauliche VM. Weitere Informationen finden Sie unter Vertraulicher Betriebssystemdatenträgerverschlüsselung.
- Verschiedene Arten von Trusted Execution Environments für Workloads. Weitere Informationen finden Sie unter Anwendungsfälle.
Hinweise zum Entwurf der Zugriffssteuerung
Moderne Sicherheitsgrenzen sind komplexer als Grenzen in herkömmlichen Rechenzentren. Ihre Ressourcen befinden sich nicht mehr innerhalb der vier Wände eines Rechenzentrums. Benutzer*innen aus dem geschützten Netzwerk herauszuhalten, reicht nicht mehr aus, um den Zugriff zu steuern. In der Cloud besteht Ihr Perimeter aus zwei Teilen: Netzwerksicherheitskontrollen und Zero Trust-Zugriffssteuerungen.
Erweiterte Netzwerksicherheit
| `Scope` | Kontext |
|---|---|
| Planen der eingehenden und ausgehenden Internetkonnektivität | Beschreibt empfohlene Verbindungsmodelle für eingehende und ausgehende Verbindungen mit und aus dem öffentlichen Internet. |
| Planen der Zielzonen-Netzwerksegmentierung | Dieser Artikel enthält wichtige Empfehlungen zur Bereitstellung einer äußerst sicheren internen Netzwerksegmentierung innerhalb einer Zielzone. Auf diesen Empfehlungen baut die Zero-Trust-Implementierung im Netzwerk auf.. |
| Definieren von Netzwerkverschlüsselungsanforderungen | Hier werden wichtige Empfehlungen zur Umsetzung der Netzwerkverschlüsselung zwischen lokalen Umgebungen und Azure sowie über Azure-Regionen hinweg erläutert. |
| Planen der Datenverkehrsüberprüfung | Erörtert wichtige Aspekte und empfohlene Ansätze zum Spiegeln oder Abfangen von Datenverkehr in Azure Virtual Network. |
Zero-Trust
Für den Zero Trust-Zugriff mit Identitäten sollten Sie Folgendes berücksichtigen:
- Welche Teams oder Einzelpersonen benötigen Zugriff auf Dienste innerhalb der Zielzone? Welche Rollen werden von ihnen ausgeführt?
- Wer soll die Zugriffsanforderungen autorisieren?
- Wer soll Benachrichtigungen erhalten, wenn privilegierte Rollen aktiviert werden?
- Wer soll Zugriff auf den Auditverlauf haben?
Weitere Informationen finden Sie unter Microsoft Entra Privileged Identity Management.
Die Implementierung von Zero Trust kann über die Identitäts- und Zugriffsverwaltung hinausgehen. Sie sollten berücksichtigen, ob Ihre Organisation Zero Trust-Praktiken über mehrere Säulen hinweg implementieren muss, z. B. Infrastruktur, Daten und Netzwerke. Weitere Informationen finden Sie unter Integrieren von Zero Trust-Praktiken in Ihrer Zielzone
Entwurfsempfehlungen für die Zugriffssteuerung
Führen Sie im Kontext ihrer zugrunde liegenden Anforderungen eine gemeinsame Untersuchung der erforderlichen Dienste durch. Wenn Sie Ihre eigenen Schlüssel einsetzen möchte, wird dies möglicherweise nicht von allen in Frage kommenden Diensten unterstützt. Implementieren Sie relevante Risikominderungen, damit Inkonsistenzen nicht die gewünschten Ergebnisse beeinträchtigen. Wählen Sie geeignete Regionspaare und Regionen für die Notfallwiederherstellung, die Latenz minimieren.
Entwickeln Sie einen Plan für eine Sicherheitspositivliste, um Dienste wie die Sicherheitskonfiguration, die Überwachung und Warnungen zu bewerten. Erstellen Sie dann einen Plan, um diese mit vorhandenen Systemen zu integrieren.
Erarbeiten Sie den Incident-Response-Plan für Azure-Dienste, bevor Sie diese in die Produktion verschieben.
Stimmen Sie Ihre Sicherheitsanforderungen mit Roadmaps für die Azure-Plattform ab, damit immer die neu veröffentlichten Sicherheitskontrollen verwendet werden.
Implementieren Sie gegebenenfalls einen Zero-Trust-Ansatz für den Zugriff auf die Azure-Plattform .
Die Sicherheit in der Azure-Landezonen-Referenzarchitektur
Sicherheit steht im Mittelpunkt der Referenzarchitektur der Azure-Landing-Zone. Im Rahmen der Implementierung werden viele Tools und Kontrollen bereitgestellt, damit Organisationen schnell eine Sicherheitsbaseline erreichen.
Folgendes ist z. B. enthalten:
Werkzeuge:
- Microsoft Defender für Cloud, Standard- oder Free-Tarif
- Microsoft Sentinel
- Azure DDoS-Netzwerkschutz (optional)
- Azure Firewall
- Webanwendungsfirewall (WAF)
- Privileged Identity Management (PIM)
Richtlinien für Onlinezielzonen sowie mit Unternehmen verbundene Zielzonen:
- Erzwingen des sicheren Zugriffs (z. B. HTTPS) auf Speicherkonten
- Erzwingen der Überwachung für Azure SQL-Datenbank
- Erzwingen der Verschlüsselung für Azure SQL-Datenbank
- Verhindern der IP-Weiterleitung
- Verhindern von eingehenden RDP-Verbindungen aus dem Internet
- Sicherstellen, dass Subnetze einer NSG zugeordnet sind
Nächste Schritte
Informieren Sie sich darüber, wie Sie den privilegierten Zugriff für Hybrid- und Cloudbereitstellungen in Microsoft Entra ID schützen.