Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sicherheit ist in der heutigen Cloudumgebung von entscheidender Bedeutung. Cyber-Bedrohungen entwickeln sich ständig weiter, und um Ihre Daten, Anwendungen und Infrastruktur zu schützen, ist ein umfassender, mehrschichtiger Ansatz erforderlich. Sicherheit ist ein Auftrag in der Cloud, und es ist wichtig, dass Sie genaue und zeitnahe Informationen zu Azure-Sicherheit finden.
Dieser Artikel bietet einen umfassenden Überblick über die Sicherheitsfeatures von Azure. Eine End-to-End-Ansicht der Azure-Sicherheit, die nach Schutz-, Erkennungs- und Reaktionsfunktionen organisiert ist, finden Sie unter End-to-End-Sicherheit in Azure.
Azures Sicherheitsansatz zur Verteidigung in tiefem Detail
Azure verwendet eine umfassende Verteidigungsstrategie, die mehrere Sicherheitsschutzebenen über den gesamten Stapel hinweg bereitstellt – von physischen Rechenzentren bis hin zu Compute, Speicher, Netzwerk, Anwendungen und Identität. Durch diesen mehrschichtigen Ansatz wird sichergestellt, dass zusätzliche Ebenen ihre Ressourcen weiterhin schützen, wenn eine Ebene kompromittiert wird.
Die Infrastruktur von Azure wird von Grund auf sorgfältig gestaltet und umfasst alles von physischen Einrichtungen bis hin zu Anwendungen, um Millionen von Kunden gleichzeitig zu hosten. Mit dieser robusten Grundlage können Unternehmen ihre Sicherheitsanforderungen zuverlässig erfüllen. Informationen zu den Schutzmaßnahmen von Microsoft für die eigentliche Azure-Plattform finden Sie unter Sicherheit der Azure-Infrastruktur. Ausführliche Informationen zur Physischen Rechenzentrumssicherheit finden Sie unter Azure physical security.
Azure ist eine öffentliche Clouddienstplattform, die eine breite Palette an Betriebssystemen, Programmiersprachen, Frameworks, Tools, Datenbanken und Geräten unterstützt. Es kann Linux-Container mit Docker-Integration ausführen; Erstellen von Apps mit JavaScript, Python, .NET, PHP, Java und Node.js; und Back-Ends für iOS-, Android- und Windows-Geräte erstellen. Die öffentlichen Azure-Clouddienste unterstützen dieselben Technologien, die bereits von Millionen von Entwicklern und IT-Profis zuverlässig eingesetzt werden.
Integrierte Plattformsicherheit
Azure bietet standardmäßigen Sicherheitsschutz, der in die Plattform integriert ist, um Ihre Ressourcen ab dem Moment zu schützen, in dem sie bereitgestellt werden. Umfassende Informationen zu den Plattformsicherheitsfunktionen von Azure finden Sie in der Übersicht über die Azure-Plattformsicherheit.
- Netzwerkschutz: Azure DDoS Protection schützt Ihre Ressourcen automatisch vor verteilten Denial-of-Service-Angriffen.
- Verschlüsselung standardmäßig: Ruhende Datenverschlüsselung ist standardmäßig für Azure Storage, SQL-Datenbank und viele andere Dienste aktiviert.
- Identitätssicherheit: Microsoft Entra ID stellt sichere Authentifizierung und Autorisierung für alle Azure-Dienste bereit.
- Bedrohungserkennung: Integrierte Bedrohungserkennung überwacht verdächtige Aktivitäten in Ihren Azure-Ressourcen.
- Compliance: Azure verwaltet das größte Complianceportfolio in der Branche und hilft Ihnen dabei, regulatorische Anforderungen zu erfüllen.
Diese grundlegenden Sicherheitskontrollen funktionieren kontinuierlich im Hintergrund, um Ihre Cloudinfrastruktur zu schützen, ohne dass zusätzliche Konfiguration für grundlegenden Schutz erforderlich ist.
Gemeinsame Verantwortung in der Cloud
Azure bietet zwar eine robuste Plattformsicherheit, die Sicherheit in der Cloud ist jedoch eine gemeinsame Verantwortung zwischen Microsoft und Ihnen. Die Aufteilung der Zuständigkeiten hängt von Ihrem Bereitstellungsmodell (IaaS, PaaS oder SaaS) ab:
- Die Verantwortung von Microsoft: Azure sichert die zugrunde liegende Infrastruktur, einschließlich physischer Rechenzentren, Hardware, Netzwerkinfrastruktur und hostbetriebssystem.
- Ihre Verantwortung: Sie sind für die Sicherung Ihrer Daten, Anwendungen, Identitäten und Zugriffsverwaltung verantwortlich.
Jede Workload und Anwendung ist unterschiedlich, mit eindeutigen Sicherheitsanforderungen basierend auf Branchenbestimmungen, Datenempfindlichkeit und geschäftlichen Anforderungen. Hier spielen die erweiterten Sicherheitsdienste von Azure eine Rolle. Weitere Informationen zum Modell der gemeinsamen Verantwortung finden Sie unter "Gemeinsame Verantwortung" in der Cloud.
Note
Der Hauptfokus in diesem Dokument richtet sich auf Steuerelemente für Kunden, mit denen Sie die Sicherheit für Ihre Anwendungen und Dienste anpassen und erhöhen können.
Erweiterte Sicherheitsdienste für jede Workload
Um Ihre einzigartigen Sicherheitsanforderungen zu erfüllen, bietet Azure eine umfassende Suite erweiterter Sicherheitsdienste, die Sie für Ihre spezifischen Anforderungen konfigurieren und anpassen können. Diese Dienste sind in sechs Funktionsbereichen organisiert: Operations, Applications, Storage, Networking, Compute und Identity. Einen umfassenden Katalog der Sicherheitsdienste und -technologien finden Sie unter Azure-Sicherheitsdienste und -technologien.
Darüber hinaus bietet Azure eine vielzahl konfigurierbarer Sicherheitsoptionen und die Möglichkeit, sie zu steuern, damit Sie die Sicherheit anpassen können, um die eindeutigen Anforderungen der Bereitstellungen Ihrer Organisation zu erfüllen. Dieses Dokument hilft Ihnen dabei zu verstehen, wie Ihnen die Azure-Sicherheitsfunktionen dabei helfen können, diese Anforderungen zu erfüllen.
Eine strukturierte Ansicht der Azure-Sicherheitskontrollen und -Basispläne finden Sie im Microsoft Cloud Security Benchmark, der umfassende Sicherheitsleitfaden für Azure-Dienste bereitstellt. Informationen zu den technischen Sicherheitsfunktionen von Azure finden Sie unter technische Azure-Sicherheitsfunktionen.
Computersicherheit
Die Sicherung Ihrer virtuellen Computer und Computeressourcen ist für den Schutz Ihrer Workloads in Azure von grundlegender Bedeutung. Azure bietet mehrere Ebenen von Computesicherheit, von hardwarebasierten Schutzmaßnahmen bis hin zur softwarebasierten Bedrohungserkennung. Ausführliche Sicherheitsinformationen für virtuelle Computer finden Sie in der Sicherheitsübersicht für virtuelle Azure-Computer.
Vertrauenswürdiger Start
Der vertrauenswürdige Start ist die Standardeinstellung für neu erstellte Azure-VMs und VM-Skalierungssätze der Generation 2. Der vertrauenswürdige Start schützt vor erweiterten und beständigen Angriffstechniken, einschließlich Boot Kits, Rootkits und Schadsoftware auf Kernelebene.
Der vertrauenswürdige Start bietet Folgendes:
- Sicherer Start: Schützt vor der Installation von schadsoftwarebasierten Rootkits und Startkits, indem sichergestellt wird, dass nur signierte Betriebssysteme und Treiber starten können
- vTPM (virtual Trusted Platform Module): Ein dedizierter sicherer Tresor für Schlüssel und Messungen, die die Nachweis- und Startintegritätsüberprüfung ermöglichen
- Startintegritätsüberwachung: Nutzt die Überprüfung über Microsoft Defender für Cloud, um die Integrität der Startkette zu überprüfen und bei Fehlern Warnungen auszugeben.
Sie können den vertrauenswürdigen Start auf vorhandenen VMs und Virtual Machine Scale Sets aktivieren.
Azure Confidential Computing
Azure Confidential Computing liefert das letzte, fehlendes Puzzlestück zum Schutz der Daten. Es ermöglicht Ihnen, Ihre Daten stets verschlüsselt zu halten – sei es im Ruhezustand, während der Übertragung im Netzwerk und jetzt sogar, wenn sie im Arbeitsspeicher geladen und in Gebrauch sind. Durch die Möglichkeit des Remotenachweises können Sie außerdem kryptografisch überprüfen, ob der virtuelle Computer, den Sie bereitstellen, sicher gestartet und ordnungsgemäß konfiguriert ist, bevor Sie Ihre Daten entsperren.
Das Spektrum der Optionen reicht von der Aktivierung von "Lift and Shift"-Szenarien vorhandener Anwendungen bis hin zur vollständigen Kontrolle der Sicherheitsfeatures. Für Infrastruktur als ein Dienst (IaaS) können Sie Folgendes verwenden:
- Vertrauliche virtuelle Computer, die von AMD SEV-SNP unterstützt werden: Hardwarebasierte Speicherverschlüsselung mit bis zu 256 GB verschlüsseltem Arbeitsspeicher
- Vertrauliche VMs mit Intel TDX: Intel Trust Domain Extensions bieten verbesserte Leistung und Sicherheit
- Vertrauliche VMs mit NVIDIA H100 GPUs: GPU-beschleunigtes vertrauliches Computing für AI/ML-Workloads
- Vertrauliche Anwendungsenklaven mit Intel SGX: Isolation auf Anwendungsebene für vertrauliche Code und Daten
Für Platform as a Service (PaaS) bietet Azure mehrere containerbasierte vertrauliche Computing-Optionen, einschließlich Integrationen mit Azure Kubernetes Service (AKS).
Antischadsoftware und Antivirensoftware
Mit Azure IaaS können Sie zum Schützen der virtuellen Computer vor Dateien mit schädlichem Inhalt, Adware und anderen Bedrohungen Antischadsoftware von Anbietern wie Microsoft, Symantec, Trend Micro, McAfee und Kaspersky verwenden. Microsoft Antischadsoftware für virtuelle Azure-Computer ist eine Schutzfunktion, mit der Viren, Spyware und andere Schadsoftware identifiziert und entfernt werden können. Microsoft Antimalware gibt konfigurierbare Warnungen aus, wenn bekannte schädliche oder unerwünschte Software versucht, sich selbst auf Ihren Azure-Systemen zu installieren oder dort auszuführen. Sie können Microsoft Antimalware auch mithilfe von Microsoft Defender für Cloud bereitstellen.
Note
Berücksichtigen Sie für modernen Schutz Microsoft Defender für Server , der erweiterten Bedrohungsschutz bietet, einschließlich Endpunkterkennung und -reaktion (EDR) durch Integration in Microsoft Defender für Endpunkt.
Hardwaresicherheitsmodul
Verschlüsselung und Authentifizierung verbessern die Sicherheit nur dann, wenn die Schlüssel selbst geschützt sind. Sie können die Verwaltung und Sicherheit Ihrer geschäftskritischen geheimen Daten und Schlüssel vereinfachen, indem Sie diese in Azure Key Vault speichern. Key Vault bietet die Möglichkeit, Ihre Schlüssel in Hardwaresicherheitsmodulen (HSMs) zu speichern, die für FIPS 140-3 Level 3-Standards zertifiziert sind. Sie können Ihre SQL Server-Verschlüsselungsschlüssel für die Sicherung speichern oder mit transparenter Datenverschlüsselung in Key Vault zusammen mit allen Schlüsseln oder geheimen Schlüsseln aus Ihren Anwendungen verwenden. Die Microsoft Entra-ID verwaltet Berechtigungen und den Zugriff auf diese geschützten Elemente.
Umfassende Informationen zu schlüsselverwaltungsoptionen, einschließlich Azure Key Vault, Managed HSM und Payment HSM, finden Sie unter Key Management in Azure.
Sicherung virtueller Computer
Azure Backup ist eine Lösung, die Ihre Anwendungsdaten mit Nullkapitalinvestitionen und minimalen Betriebskosten schützt. Anwendungsfehler können Ihre Daten beschädigen, und menschliche Fehler können Fehler in Ihre Anwendungen verursachen, die zu Sicherheitsproblemen führen können. Mit Azure Backup sind Ihre virtuellen Windows- und Linux-Computer geschützt.
Azure Site Recovery
Ein wichtiger Teil der BCDR-Strategie (Geschäftskontinuität/Notfallwiederherstellung) Ihrer Organisation ist die Ermittlung, wie geschäftliche Workloads und Apps verfügbar gehalten werden können, wenn geplante und ungeplante Ausfälle auftreten. Azure Site Recovery unterstützt die Orchestrierung von Replikation, Failover und Wiederherstellung von Workloads und Apps, damit diese Komponenten über einen sekundären Standort zur Verfügung stehen, wenn der primäre Standort ausfällt.
SQL VM TDE
Transparent Data Encryption (TDE) und Column Level Encryption (CLE) sind SQL Server-Verschlüsselungsfeatures. Diese Form der Verschlüsselung erfordert, dass Sie die für die Verschlüsselung verwendeten kryptografischen Schlüssel verwalten und speichern.
Der Azure-Schlüsseltresor-Dienst (Azure Key Vault, AKV) ist dafür ausgelegt, die Sicherheit und Verwaltung dieser Schlüssel an einem sicheren und hoch verfügbaren Speicherort zu verbessern. Mit dem SQL Server-Connector kann SQL Server diese Schlüssel aus Azure Key Vault verwenden.
Wenn Sie SQL Server mit lokalen Computern ausführen, können Sie schritte ausführen, um von Ihrer lokalen SQL Server-Instanz aus auf Azure Key Vault zuzugreifen. Für SQL Server in Azure-VMs können Sie Zeit sparen, indem Sie die Azure Key Vault-Integrationsfunktion verwenden. Mithilfe einiger Azure PowerShell-Cmdlets zum Aktivieren dieses Features können Sie die konfiguration automatisieren, die für einen SQL-virtuellen Computer erforderlich ist, um auf Ihren Schlüsseltresor zuzugreifen.
Eine umfassende Liste der bewährten Methoden für die Datenbanksicherheit finden Sie in der Prüfliste zur Azure-Datenbanksicherheit.
VM-Datenträgerverschlüsselung
Von Bedeutung
Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.
Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .
Für die Verschlüsselung moderner virtueller Computer bietet Azure Folgendes:
- Verschlüsselung auf Host: Bietet End-to-End-Verschlüsselung für VM-Daten, einschließlich temporärer Datenträger und Betriebssystem-/Datenträgercaches.
- Vertrauliche Datenträgerverschlüsselung: Verfügbar mit vertraulichen VMs für hardwarebasierte Verschlüsselung.
- Serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln: Verwalten Sie Ihre eigenen Verschlüsselungsschlüssel über Azure Key Vault oder azure Key Vault Managed HSM.
Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.
Virtuelle Netzwerke
Virtuelle Computer benötigen Netzwerkkonnektivität. Azure erfordert von einem virtuellen Computer eine Verbindung mit einem virtuellen Azure-Netzwerk, damit die Konnektivitätsanforderung unterstützt wird. Ein virtuelles Azure-Netzwerk ist ein logisches Konstrukt, das auf dem physischen Azure-Netzwerkfabric basiert. Jedes logische Azure Virtual Network ist von allen anderen virtuellen Azure-Netzwerken isoliert. Mit dieser Isolierung wird sichergestellt, dass der Netzwerkdatenverkehr in Ihren Bereitstellungen nicht für andere Microsoft Azure-Kunden zugänglich ist.
Patch-Updates
Patchupdates bieten die Grundlage für das Auffinden und Beheben potenzieller Probleme und vereinfachen den Softwareupdateverwaltungsprozess. Sie verringern die Anzahl der Softwareupdates, die Sie in Ihrem Unternehmen bereitstellen müssen, und erhöhen ihre Fähigkeit zur Überwachung der Compliance.
Verwaltung von Sicherheitsrichtlinien und Berichtserstellung
Defender für Cloud hilft Ihnen dabei, Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren. Es bietet Ihnen eine erhöhte Sichtbarkeit und Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet eine integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements. Es hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum von Sicherheitslösungen verwendet werden.
Anwendungssicherheit
Die Anwendungssicherheit konzentriert sich auf den Schutz Ihrer Anwendungen vor Bedrohungen während des gesamten Lebenszyklus – von der Entwicklung bis hin zur Bereitstellung und Laufzeit. Azure bietet umfassende Tools für sichere Entwicklung, Tests und Schutz von Anwendungen. Anleitungen zur sicheren Anwendungsentwicklung finden Sie unter Entwickeln sicherer Anwendungen in Azure. Bewährte Methoden für paaS-spezifische Sicherheit finden Sie unter Sichern von PaaS-Bereitstellungen. Informationen zur IaaS-Bereitstellungssicherheit finden Sie unter Bewährte Methoden für IaaS-Workloads in Azure.
Penetrationstests
Microsoft führt keine Penetrationstests Ihrer Anwendung durch, versteht aber, dass Sie tests für Ihre eigenen Anwendungen durchführen möchten und müssen. Sie müssen Microsoft nicht mehr über Stifttests benachrichtigen, aber Sie müssen weiterhin die Microsoft Cloud Penetration Testing Rules of Engagement einhalten.
Webanwendungs-Firewall
Die Webanwendungsfirewall (WAF) in Azure Application Gateway schützt Webanwendungen vor gängigen webbasierten Angriffen wie SQL-Einfügung, websiteübergreifendes Skripting und Sitzungsentführerung. Es ist vorkonfiguriert, um die 10 wichtigsten Sicherheitsanfälligkeiten zu verteidigen, die vom Open Web Application Security Project (OWASP) identifiziert wurden.
Authentifizierung und Autorisierung in Azure App Service
Mithilfe des Authentifizierungs-/Autorisierungsfeatures von App Service kann Ihre Anwendung Benutzer anmelden, sodass Sie keine Codeänderungen für das Back-End der App vornehmen müssen. Es stellt eine einfache Möglichkeit zum Schutz Ihrer Anwendung und für die Arbeit mit benutzerspezifischen Daten bereit.
Mehrschichtige Sicherheitsarchitektur
Da App Service-Umgebungen eine in einem Azure Virtual Network bereitgestellte isolierte Laufzeitumgebung bieten, können Entwickler eine mehrstufige Sicherheitsarchitektur erstellen, in der sie abgestuften Netzwerkzugriff für jede Anwendungsschicht gewähren können. Üblicherweise sollte der Zugriff auf API-Back-Ends nicht über den allgemeinen Internetzugriff möglich sein, und APIs sollten nur von Upstream-Web-Apps aufgerufen werden können. Sie können Netzwerksicherheitsgruppen (Network Security Groups, NSGs) in Azure Virtual Network-Subnetzen verwenden, die App-Dienstumgebungen enthalten, um den öffentlichen Zugriff auf API-Anwendungen einzuschränken.
App Service-Web-Apps bieten robuste Diagnosefunktionen zum Erfassen von Protokollen sowohl vom Webserver als auch von der Webanwendung. Diese Diagnosefunktionen sind in Webserverdiagnose und Anwendungsdiagnose kategorisiert. Die Webserverdiagnose bietet erhebliche Fortschritte bei der Diagnose und Problembehandlung von Sites und Anwendungen.
Das erste neue Feature sind Zustandsinformationen in Echtzeit zu Anwendungspools, Workerprozessen, Websites, Anwendungsdomänen und aktiven Anforderungen. Das zweite neue Feature ist die detaillierte Ablaufverfolgungsereignisse, die eine Anforderung während des gesamten Anforderungs- und Antwortprozesses nachverfolgen.
Um die Sammlung dieser Ablaufverfolgungsereignisse zu aktivieren, können Sie IIS 7 so konfigurieren, dass umfassende Ablaufverfolgungsprotokolle automatisch im XML-Format für bestimmte Anforderungen erfasst werden. Die Sammlung kann auf der verstrichenen Zeit oder auf Fehlerantwortcodes basieren.
Speichersicherheit
Die Speichersicherheit ist unerlässlich für den Schutz Ihrer Daten im Ruhezustand und während der Übertragung. Azure bietet mehrere Verschlüsselungs-, Zugriffssteuerungs- und Überwachungsfunktionen, um sicherzustellen, dass Ihre Daten sicher bleiben. Ausführliche Informationen zur Datenverschlüsselung finden Sie in der Azure-Verschlüsselungsübersicht. Informationen zu Schlüsselverwaltungsoptionen finden Sie unter Schlüsselverwaltung in Azure. Bewährte Methoden für die Datenverschlüsselung finden Sie unter Bewährte Methoden für Azure-Datensicherheit und Verschlüsselung.
Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC)
Sie können Ihr Speicherkonto mithilfe der rollenbasierten Zugriffssteuerung (Azure RBAC) sichern. Um Sicherheitsrichtlinien für den Datenzugriff zu erzwingen, beschränken Sie den Zugriff basierend auf den Sicherheitsgrundsätzen des Kenntnis nur bei Bedarf und des geringsten Privilegs. Gewähren Sie diesen Zugriffsrechten, indem Sie die entsprechende Azure-Rolle Gruppen und Anwendungen in einem bestimmten Bereich zuweisen. Verwenden Sie integrierte Azure-Rollen, z. B. "Mitwirkender speicherkonto", um Benutzern Berechtigungen zuzuweisen. Sie können den Zugriff auf die Speicherschlüssel für ein Speicherkonto steuern, indem Sie das Azure Resource Manager-Modell über Azure RBAC verwenden.
Shared Access Signature (SAS)
Shared Access Signatures (SAS) ermöglichen den delegierten Zugriff auf Ressourcen in Ihrem Speicherkonto. Mithilfe der SAS können Sie einem Client für einen bestimmten Zeitraum beschränkte Berechtigungen zu Objekten in Ihrem Speicherkonto mit bestimmten Berechtigungen erteilen. Gewähren Sie diesen eingeschränkten Berechtigungen, ohne Ihre Kontozugriffsschlüssel freigeben zu müssen.
Verschlüsselung während der Übertragung
Verschlüsselung während der Übertragung ist ein Mechanismus zum Schutz der Daten bei der Übertragung über Netzwerke hinweg. Mit Azure Storage können Sie Daten mithilfe von:
Verschlüsselung auf Transportebene, z. B. HTTPS beim Übertragen von Daten in oder aus Azure Storage.
Drahtverschlüsselung, z. B. SMB 3.0-Verschlüsselung für Azure-Dateifreigaben.
Clientseitige Verschlüsselung, um die Daten vor der Übertragung in den Speicher zu verschlüsseln und nach der Übertragung aus dem Speicher zu entschlüsseln.
Verschlüsselung ruhender Daten
Für viele Organisationen ist die Verschlüsselung von ruhenden Daten ein obligatorischer Schritt in Richtung Datenschutz, Compliance und Datenhoheit. Drei Azure Storage-Sicherheitsfeatures bieten die Verschlüsselung ruhender Daten:
Die Speicherdienstverschlüsselung verschlüsselt daten automatisch beim Schreiben in Azure Storage.
Clientseitige Verschlüsselung bietet auch das Feature der ruhenden Verschlüsselung.
Speicheranalysen
Die Azure-Speicheranalyse führt die Protokollierung aus und stellt Metrikdaten für ein Speicherkonto bereit. Mit diesen Daten können Sie Anforderungen nachverfolgen, Nutzungstrends analysieren und Probleme mit Ihrem Speicherkonto diagnostizieren. Storage Analytics protokolliert ausführliche Informationen zu erfolgreichen und nicht erfolgreichen Anforderungen an einen Speicherdienst. Mithilfe dieser Informationen können Sie einzelne Anforderungen überwachen und Probleme mit einem Speicherdienst diagnostizieren. Anforderungen werden auf Grundlage der besten Leistung protokolliert. Die folgenden Typen authentifizierter Anforderungen werden protokolliert:
- Erfolgreiche Anfragen.
- Fehlerhafte Anforderungen, einschließlich Timeout-, Drosselungs-, Netzwerk- und Autorisierungsfehler sowie anderer Fehler
- Anforderungen mithilfe einer SAS (Shared Access Signature), einschließlich fehlerhafter und erfolgreicher Anforderungen
- Anforderungen von Analysedaten
Aktivieren von browserbasierten Clients mithilfe von CORS
Cross-Origin Resource Sharing (CORS) ist ein Mechanismus, der es Domänen ermöglicht, einander die Berechtigung für den Zugriff auf die Ressourcen der anderen zu erteilen. Der Benutzer-Agent sendet zusätzliche Header, um sicherzustellen, dass der aus einer bestimmten Domäne geladene JavaScript-Code auf Ressourcen zugreifen darf, die sich in einer anderen Domäne befinden. Die letztere Domäne antwortet dann mit zusätzlichen Headern, die der ursprünglichen Domäne den Zugriff auf ihre Ressourcen gestattet oder verweigert.
Azure-Speicherdienste unterstützen jetzt CORS. Nachdem Sie die CORS-Regeln für den Dienst festgelegt haben, wird eine ordnungsgemäß authentifizierte Anforderung für den Dienst aus einer anderen Domäne ausgewertet, um zu bestimmen, ob sie gemäß den von Ihnen angegebenen Regeln zulässig ist.
Netzwerksicherheit
Die Netzwerksicherheit steuert, wie Datenverkehr zu und von Ihren Azure-Ressourcen fließt. Azure bietet einen umfassenden Satz von Netzwerksicherheitsdiensten, von der grundlegenden Firewall bis hin zum erweiterten Bedrohungsschutz und dem globalen Lastenausgleich. Umfassende Informationen zur Netzwerksicherheit finden Sie in der Übersicht über die Azure-Netzwerksicherheit. Bewährte Methoden für die Netzwerksicherheit finden Sie unter bewährte Methoden für die Azure-Netzwerksicherheit.
Netzwerkebenensteuerelemente
Netzwerkzugriffssteuerung bedeutet, die Konnektivität zu oder ausgehend von bestimmten Geräten oder Subnetzen zu begrenzen. Dies stellt den Kern der Netzwerksicherheit dar. Das Ziel der Netzwerkzugriffskontrolle besteht darin, sicherzustellen, dass Ihre virtuellen Computer und Dienste nur für Benutzer und Geräte zugänglich sind, die Sie autorisieren.
Netzwerksicherheitsgruppen
Eine Netzwerksicherheitsgruppe (Network Security Group, NSG) ist eine grundlegende zustandsbehaftete Paketfilterfirewall. Sie können den Zugriff basierend auf einem Fünf-Tupel steuern. NSGs bieten weder eine Inspektion auf Anwendungsebene noch authentifizierte Zugriffssteuerungen. Sie können sie verwenden, um den Datenverkehr zwischen Subnetzen in einem virtuellen Azure-Netzwerk und Datenverkehr zwischen einem virtuellen Azure-Netzwerk und dem Internet zu steuern.
Azure Firewall
Azure Firewall ist ein cloudeigener und intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre Cloudworkloads bietet, die in Azure ausgeführt werden. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Sie ermöglicht die Untersuchung von Ost-West- und Nord-Süd-Datenverkehr.
Azure Firewall wird in drei SKUs angeboten: Basic, Standard und Premium:
- Azure Firewall Basic – Entwickelt für kleine und mittelständische Unternehmen, die einen wesentlichen Schutz zu einem erschwinglichen Preis bieten.
- Azure Firewall Standard – Bietet L3-L7 Filterung, Bedrohungserkennungsfeeds von Microsoft Cyber Security und kann auf 30 GBit/s skaliert werden.
-
Azure Firewall Premium – Erweiterter Bedrohungsschutz für streng vertrauliche und regulierte Umgebungen mit:
- TLS-Inspektion: Entschlüsselt ausgehenden Datenverkehr, verarbeitet ihn für Bedrohungen und verschlüsselt dann erneut, bevor er an das Ziel gesendet wird.
- IDPS (Intrusion Detection and Prevention System): Signaturbasierte IDPS mit über 67.000 Signaturen in mehr als 50 Kategorien, aktualisiert mit täglich 20-40 neuen Regeln.
- URL-Filterung: Erweitert die FQDN-Filterung, um den gesamten URL-Pfad zu berücksichtigen.
- Erweiterte Webkategorien: Erweiterte Kategorisierung basierend auf vollständigen URLs für HTTP- und HTTPS-Datenverkehr.
- Verbesserte Leistung: Skaliert bis zu 100 GBit/s mit 10 Gbps Fat-Flow-Unterstützung.
- PCI DSS Compliance: Erfüllt die Anforderungen an die Datensicherheit der Payment Card Industry.
Azure Firewall Premium ist wichtig für den Schutz vor Ransomware, da sie die Von Ransomware verwendete Konnektivität (Command and Control, C&C) erkennen und blockieren kann, um Verschlüsselungsschlüssel abzurufen. Erfahren Sie mehr über den Ransomware-Schutz mit der Azure Firewall.
Azure DDoS Protection
Azure DDoS Protection bietet in Kombination mit bewährten Anwendungsentwurfsmethoden erweiterte Features zum Schutz vor DDoS-Angriffen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. Das Aktivieren des Schutzes ist bei neuen und vorhandenen virtuellen Netzwerken einfach und erfordert keine Änderungen an Ihren Anwendungen oder Ressourcen.
Azure DDoS Protection bietet zwei Dienstebenen: DDoS-Netzwerkschutz und DDoS-IP-Schutz.
DDoS-Netzwerkschutz – Bietet erweiterte Features zum Schutz vor DDoS-Angriffen (Distributed Denial of Service). Er arbeitet auf den Netzwerkschichten 3 und 4 und umfasst erweiterte Features wie die Unterstützung für DDoS Rapid Response, Kostenschutz und Rabatte auf Web Application Firewall (WAF).
DDoS-IP-Schutz – Ist ein Modell mit Bezahlung pro geschützter IP-Adresse. Es enthält die gleichen kerntechnischen Features wie DDoS Network Protection, bietet aber nicht die zusätzlichen Dienste wie DDoS Rapid Response Support, Kostenschutz und WAF-Rabatte.
Routensteuerung und Tunnelerzwingung
Die Steuerung des Routingverhaltens in Ihren virtuellen Azure-Netzwerken ist eine entscheidende Funktion in den Bereichen Netzwerksicherheit und Zugriffssteuerung. Wenn Sie z. B. sicherstellen möchten, dass der gesamte Datenverkehr zu und ausgehend von Ihrem Azure Virtual Network Ihr virtuelles Sicherheitsgerät passiert, müssen Sie das Routingverhalten steuern und anpassen können. Sie können dieses Steuerelement und diese Anpassung ausführen, indem Sie User-Defined Routen in Azure konfigurieren.
mitUser-Defined Routen können Sie eingehende und ausgehende Pfade für den Datenverkehr anpassen, der in und aus einzelnen virtuellen Computern oder Subnetzen wechselt, um die sicherste Route zu gewährleisten. Erzwungenes Tunneln ist ein Mechanismus, mit dem Sie sicherstellen können, dass Ihre Dienste keine Verbindung mit Geräten im Internet initiieren dürfen.
Diese Einschränkung unterscheidet sich von der Möglichkeit, eingehende Verbindungen zu akzeptieren und dann darauf zu reagieren. Front-End-Webserver müssen auf Anforderungen von Internethosts reagieren. Daher ist internetbezogener Datenverkehr zu diesen Webservern zugelassen, und die Webserver können reagieren.
Verwenden Sie erzwungenes Tunneling häufig, um den ausgehenden Datenverkehr ins Internet über lokale Sicherheitsproxies und Firewalls zu leiten.
Appliances für die Sicherheit des virtuellen Netzwerks
Während Netzwerksicherheitsgruppen, User-Defined Routen und erzwungene Tunneling Ihnen eine Sicherheitsstufe auf den Netzwerk- und Transportebenen des OSI-Modells bieten, kann es vorkommen, dass Sie die Sicherheit auf höheren Ebenen des Stapels aktivieren möchten. Sie können mit einer Azure-Partnerlösung für Appliances für die Sicherheit des Netzwerks auf diese erweiterten Netzwerksicherheitsfeatures zugreifen. Sie finden die aktuellsten Azure-Partnernetzwerksicherheitslösungen, indem Sie den Azure Marketplace besuchen und nach Sicherheit und Netzwerksicherheit suchen.
Virtuelles Azure-Netzwerk
Ein virtuelles Azure-Netzwerk (VNet) ist eine Darstellung Ihres eigenen Netzwerks in der Cloud. Dies ist eine logische Isolierung der Azure-Netzwerkfabric für Ihr Abonnement. Sie können die IP-Adressblöcke, DNS-Einstellungen, Sicherheitsrichtlinien und Routentabellen in diesem Netzwerk vollständig steuern. Sie können Ihr VNet in Subnetze segmentieren und virtuelle Azure IaaS-Computer (VMs) in Azure Virtual Networks platzieren.
Darüber hinaus können Sie das virtuelle Netzwerk über eine der in Azure verfügbaren Konnektivitätsoptionen mit Ihrem lokalen Netzwerk verbinden. Im Wesentlichen können Sie Ihr Netzwerk mit vollständiger Kontrolle über IP-Adressblöcke auf Azure ausdehnen und von der Azure-Skalierung auf Unternehmensebene profitieren.
Azure-Netzwerke unterstützen verschiedene Szenarien für den sicheren Remotezugriff. Einige mögliche Szenarien:
Verbinden einzelner Arbeitsstationen mit einem Azure Virtual Network
Verbinden eines lokalen Netzwerks mit einem Azure Virtual Network mithilfe eines VPN
Azure Virtual Network Manager
Azure Virtual Network Manager bietet eine zentrale Lösung zum Verwalten und Sichern Ihrer virtuellen Netzwerke im großen Maßstab. Es verwendet Sicherheitsadministratorregeln , um Sicherheitsrichtlinien in Ihrer gesamten Organisation zentral zu definieren und zu erzwingen. Sicherheitsadministratorregeln haben Vorrang vor NSG-Regeln (Network Security Group) und werden auf das virtuelle Netzwerk angewendet. Diese Priorität ermöglicht es Organisationen, Kernrichtlinien durch Sicherheitsverwaltungsregeln durchzusetzen, während nachgelagerte Teams weiterhin NSGs entsprechend ihren spezifischen Anforderungen auf Subnetz- und NIC-Ebene anpassen können.
Verwenden Sie abhängig von den Anforderungen Ihrer Organisation " Zulassen", " Verweigern" oder " Immer zulassen "-Regelaktionen, um Sicherheitsrichtlinien zu erzwingen:
| Regelaktion | Description |
|---|---|
| Allow | Lässt den angegebenen Datenverkehr standardmäßig zu. Nachgeschaltete NSGs erhalten diesen Datenverkehr weiterhin und können ihn möglicherweise verweigern. |
| Immer zulassen | Lassen Sie den angegebenen Datenverkehr immer zu, unabhängig von anderen Regeln mit niedrigerer Priorität oder NSGs. Verwenden Sie diese Regel, um sicherzustellen, dass der Überwachungs-Agent, der Domänencontroller oder der Verwaltungsdatenverkehr nicht blockiert ist. |
| Deny | Blockieren sie den angegebenen Datenverkehr. Nachgeschaltete NSGs bewerten diesen Datenverkehr nicht, nachdem er durch eine Sicherheitsverwaltungsregel abgelehnt wurde. Dadurch wird gewährleistet, dass Ihre Hochrisikoports sowohl für bestehende als auch für neue virtuelle Netzwerke automatisch geschützt sind. |
In Azure Virtual Network Manager können Sie virtuelle Netzwerke für die zentrale Verwaltung und Durchsetzung von Sicherheitsrichtlinien gruppieren . Netzwerkgruppen sind eine logische Gruppierung virtueller Netzwerke basierend auf Ihren Anforderungen aus einer Topologie und Sicherheitsperspektive. Sie können die virtuelle Netzwerkmitgliedschaft Ihrer Netzwerkgruppen manuell aktualisieren oder bedingte Anweisungen mit Azure Policy definieren , um Netzwerkgruppen dynamisch zu aktualisieren und Ihre Netzwerkgruppenmitgliedschaft automatisch zu aktualisieren.
Azure Private Link
Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-PaaS-Dienste (beispielsweise Azure Storage und SQL Database) sowie auf in Azure gehostete kundeneigene Dienste/Partnerdienste zugreifen. Die Einrichtung und Nutzung von Azure Private Link ist in Azure PaaS-, Kunden- und gemeinsam genutzten Partnerdiensten einheitlich. Der Datenverkehr aus Ihrem virtuellen Netzwerk an den Azure-Dienst verbleibt immer im Backbone-Netzwerk von Microsoft Azure.
Mithilfe privater Endpunkte können Sie Ihre kritischen Azure-Dienstressourcen nur in Ihren virtuellen Netzwerken sichern. Azure Private Endpoint verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk, um Sie privat und sicher mit einem Dienst zu verbinden, der von Azure Private Link unterstützt wird und den Dienst effektiv in Ihr virtuelles Netzwerk einführt. Es ist nicht mehr erforderlich, Ihr virtuelles Netzwerk im öffentlichen Internet zur Verfügung zu stellen, um Dienste in Azure zu nutzen.
Sie können auch Ihren eigenen Private Link-Dienst in Ihrem virtuellen Netzwerk erstellen. Der Azure Private Link-Dienst ist der Verweis auf Ihren eigenen Dienst, der von Azure Private Link unterstützt wird. Ihr Dienst, der hinter Azure Load Balancer Standard ausgeführt wird, kann für den Zugriff auf Private Link aktiviert werden, sodass die Benutzer Ihres Diensts privat über ihre eigenen virtuellen Netzwerke auf diesen zugreifen können. Ihre Kunden können einen privaten Endpunkt in ihrem virtuellen Netzwerk erstellen und diesem Dienst zuordnen. Es ist nicht mehr erforderlich, Ihren Dienst im öffentlichen Internet zur Verfügung zu stellen, um Dienste in Azure zu rendern.
VPN-Gateway
Wenn Sie Netzwerkdatenverkehr zwischen Ihrem Azure Virtual Network und Ihrem lokalen Standort senden möchten, müssen Sie für Ihr Azure Virtual Network ein VPN Gateway erstellen. Ein VPN-Gateway ist eine Art virtuelles Netzwerkgateway, das verschlüsselten Datenverkehr über eine öffentliche Verbindung sendet. Sie können VP Gateways auch verwenden, um Datenverkehr zwischen Azure Virtual Networks über das Azure-Netzwerkfabric zu senden.
ExpressRoute
Microsoft Azure ExpressRoute ist eine dedizierte WAN-Verbindung, mit der Sie Ihre lokalen Netzwerke über eine dedizierte private Verbindung, die von einem Konnektivitätsanbieter erleichtert wird, in die Microsoft-Cloud erweitern können.
Mit ExpressRoute können Sie Verbindungen mit Microsoft-Clouddiensten herstellen, z. B. Microsoft Azure und Microsoft 365. Die Konnektivität kann über ein Any-to-Any-Netzwerk (IP VPN), ein Point-to-Point-Ethernet-Netzwerk oder eine virtuelle Querverbindung über einen Konnektivitätsanbieter in einer Co-Location-Einrichtung bereitgestellt werden.
ExpressRoute-Verbindungen gehen nicht über das öffentliche Internet und sind sicherer als VPN-basierte Lösungen. Mit diesem Design können ExpressRoute-Verbindungen mehr Zuverlässigkeit, schnellere Geschwindigkeiten, niedrigere Latenzen und höhere Sicherheit bieten als typische Verbindungen über das Internet.
Anwendungs-Gateway
Microsoft Azure Application Gateway verfügt über einen ADC (Application Delivery Controller) als Dienst und damit für Ihre Anwendung über verschiedene Lastenausgleichsfunktionen auf Schicht 7.
Es ermöglicht Ihnen, durch das Auslagern der CPU-intensiven TLS-Terminierung an das Anwendungsgateway (auch als TLS-Offload oder TLS-Bridging bezeichnet) die Produktivität einer Webfarm zu optimieren. Darüber hinaus werden noch weitere Routingfunktionen der Ebene 7 bereitgestellt. Hierzu zählen etwa die Roundrobin-Verteilung des eingehenden Datenverkehrs, cookiebasierte Sitzungsaffinität, Routing auf URL-Pfadbasis und die Möglichkeit zum Hosten mehrerer Websites hinter einer einzelnen Application Gateway-Instanz. Azure Application Gateway verwendet einen Load Balancer auf der Schicht 7 (Anwendungsschicht).
Das Application Gateway ermöglicht ein Failover sowie schnelles Routing von HTTP-Anforderungen zwischen verschiedenen Servern in der Cloud und der lokalen Umgebung.
Die Anwendung bietet viele ADC-Funktionen (Application Delivery Controller), einschließlich HTTP-Lastenausgleich, Cookie-basierte Sitzungsaffinität, TLS-Offload, benutzerdefinierte Integritätssonden, Unterstützung für mehrere Standorte und viele andere.
Webanwendungs-Firewall
Die Webanwendungsfirewall ist ein Feature des Azure-Anwendungsgateways , das Webanwendungen schützt, die Anwendungsgateway für standardmäßige ADC-Funktionen (Application Delivery Control) verwenden. Die Webanwendungsfirewall schützt sie vor den meisten der häufigsten OWASP-Sicherheitsanfälligkeiten von OWASP.
Schutz vor Einschleusung von SQL-Befehlen
Schutz vor allgemeinen Webangriffen wie Einfügung von Befehlen, HTTP-Anforderungsschmuggel, Teilen von HTTP-Antworten und Remotedateieinschluss
Schutz vor Verletzungen des HTTP-Protokolls
Schutz vor HTTP-Protokollanomalien, z. B. fehlender Host, Benutzer-Agent und Akzeptieren von Headern
Verhindern von Bots, Crawlern und Scannern
Erkennung gängiger Anwendungsfehler (z. B. Apache, IIS)
Eine zentrale Webanwendungsfirewall (WAF) vereinfacht die Sicherheitsverwaltung und verbessert den Schutz vor Webangriffen. Sie bietet eine bessere Sicherheit vor Angriffsbedrohungen und kann schneller auf Sicherheitsbedrohungen reagieren, indem bekannte Sicherheitsrisiken zentral gepatcht werden, anstatt jede einzelne Webanwendung zu schützen. Sie können vorhandene Anwendungsgateways ganz einfach aktualisieren, um eine Webanwendungsfirewall einzuschließen.
Azure Front Door – der Dienst für Web-Traffic-Management
Azure Front Door ist ein globaler, skalierbarer Einstiegspunkt, der das globale Edgenetzwerk von Microsoft verwendet, um schnelle, sichere und weit skalierbare Webanwendungen zu erstellen. Front Door bietet:
- Globaler Lastenausgleich: Verteilen des Datenverkehrs über mehrere Back-Ends in verschiedenen Regionen
- Integrierte Webanwendungsfirewall: Schutz vor häufig auftretenden Sicherheitsrisiken und Angriffen im Web
- DDoS-Schutz: Integrierter Schutz vor verteilten Denial-of-Service-Angriffen
- SSL/TLS Offload: Zentrale Zertifikatverwaltung und Datenverkehrsverschlüsselung
- URL-basiertes Routing: Weiterleiten des Datenverkehrs an verschiedene Back-Ends basierend auf URL-Mustern
Front Door kombiniert die Inhaltsübermittlung, Anwendungsbeschleunigung und Sicherheit in einem einzigen Dienst.
Traffic Manager
Mit Microsoft Azure Traffic Manager können Sie die Verteilung des Benutzerdatenverkehrs für Dienstendpunkte in verschiedenen Rechenzentren steuern. Dienstendpunkte, die Traffic Manager unterstützt, umfassen Azure-VMs, Web Apps und Clouddienste. Darüber hinaus kann Traffic Manager auch mit externen, Azure-fremden Endpunkten verwendet werden.
Traffic Manager verwendet das Domain Name System (DNS), um Clientanforderungen basierend auf einer Datenverkehrsroutingmethode und der Integrität der Endpunkte an den am besten geeigneten Endpunkt zu leiten. Traffic Manager bietet eine Reihe von Datenverkehrsrouting-Methoden, die verschiedene Anwendungsanforderungen erfüllen und die Überwachung der Integrität von Endpunkten sowie automatisches Failover ermöglichen. Traffic Manager zeichnet sich durch eine geringe Fehleranfälligkeit aus, selbst wenn es zu einem Ausfall einer ganzen Azure-Region kommt.
Azure Load Balancer
Der Azure Load Balancer bietet Hochverfügbarkeit und Netzwerkleistung für Ihre Anwendungen. Es ist ein Layer-4-Lastenausgleichsmodul (TCP, UDP), das eingehenden Datenverkehr auf funktionierende Dienstinstanzen verteilt, die in einer Lastenausgleichsgruppe definiert sind. Sie können Azure Load Balancer für Folgendes konfigurieren:
Lastenausgleich des eingehenden Internetdatenverkehrs für virtuelle Computer. Diese Konfiguration wird als öffentlicher Lastenausgleich bezeichnet.
Lastenausgleich für Datenverkehr zwischen virtuellen Computern in einem virtuellen Netzwerk, zwischen virtuellen Computern in Clouddiensten oder zwischen lokalen und virtuellen Computern in einem standortübergreifenden virtuellen Netzwerk. Diese Konfiguration wird als interner Lastenausgleichbezeichnet.
Weiterleiten von externem Datenverkehr an eine bestimmte Instanz eines virtuellen Computers
Internes DNS-System
Sie können die Liste der DNS-Server verwalten, die in einem VNet im Azure-Portal oder in der Netzwerkkonfigurationsdatei verwendet werden. Sie können bis zu 12 DNS-Server für jedes VNet hinzufügen. Überprüfen Sie beim Angeben von DNS-Servern, ob Sie Ihre DNS-Server in der richtigen Reihenfolge für Ihre Umgebung auflisten. DNS-Serverlisten werden nicht per Roundrobin verarbeitet. Sie werden in der von Ihnen angegebenen Reihenfolge verwendet. Wenn der erste DNS-Server in der Liste erreichbar ist, verwendet der Client diesen DNS-Server, unabhängig davon, ob der DNS-Server ordnungsgemäß funktioniert oder nicht. Um die DNS-Serverreihenfolge für Ihr virtuelles Netzwerk zu ändern, entfernen Sie die DNS-Server aus der Liste, und fügen Sie sie wieder in der gewünschten Reihenfolge hinzu. DNS unterstützt den Verfügbarkeitsaspekt der drei Sicherheitsbereiche „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.
Azure DNS
Das Domain Name System (DNS) ist für die Übersetzung (oder Auflösung) eines Website- oder Dienstnamens in die IP-Adresse verantwortlich. Azure DNS ist ein Hostingdienst für DNS-Domänen, der die Namensauflösung mithilfe der Microsoft Azure-Infrastruktur bereitstellt. Durch das Hosten Ihrer Domänen in Azure können Sie Ihre DNS-Einträge mithilfe der gleichen Anmeldeinformationen, APIs, Tools und Abrechnung wie für die anderen Azure-Dienste verwalten. DNS unterstützt den Verfügbarkeitsaspekt der "CIA"-Sicherheitstriad.
Netzwerksicherheitsgruppen in Azure Monitor-Protokolle
Sie können die folgenden Diagnoseprotokoll-Kategorien für Netzwerksicherheitsgruppen aktivieren:
Ereignis: Enthält Einträge, für die NSG-Regeln auf virtuelle Computer und Instanzrollen auf Grundlage der MAC-Adresse angewendet werden. Der Status für diese Regeln wird alle 60 Sekunden erfasst.
Regelzähler: Enthält Einträge darüber, wie oft jede NSG-Regel angewendet wurde, um Datenverkehr zuzulassen oder zu verweigern.
Microsoft Defender for Cloud
Microsoft Defender für Cloud analysiert ständig den Sicherheitsstatus Ihrer Azure-Ressourcen anhand bewährter Methoden für Netzwerksicherheit. Wenn Defender für Cloud potenzielle Sicherheitsrisiken identifiziert, erstellt es Empfehlungen , die Sie durch den Prozess der Konfiguration der erforderlichen Steuerelemente führen, um Ihre Ressourcen zu härten und zu schützen.
Erweiterte Container-Netzwerkdienste (ACNS)
Erweiterte Container-Netzwerkdienste (Advanced Container Networking Services, ACNS) ist eine umfassende Lösung, die die betriebliche Effizienz Ihrer Azure Kubernetes Service-Cluster (AKS) verbessern soll. Die Lösung bietet erweiterte Features für Sicherheit und Einblicke, die die Verwaltung der Microservices-Infrastruktur im großen Maßstab vereinfachen.
Diese Features sind in zwei Hauptbereiche unterteilt:
Sicherheit: Bei Clustern mit Azure CNI Powered by Cilium enthalten Netzwerkrichtlinien vollqualifizierte Domänennamenfilter (FQDN), um die Komplexität der Verwaltung der Konfiguration zu lösen.
Observability: Diese Funktion der Advanced Container Networking Services-Suite überträgt die Leistungsfähigkeit der Hubble-Kontrollebene auf Linux-Datenebenen sowohl mit als auch ohne Cilium und bietet eine verbesserte Transparenz in Bezug auf Netzwerke und Leistung.
Sicherheitsvorgänge und -verwaltung
Die Verwaltung und Überwachung der Sicherheit Ihrer Azure-Umgebung ist für die Aufrechterhaltung eines starken Sicherheitsstatus unerlässlich. Azure bietet umfassende Tools für Sicherheitsvorgänge, Bedrohungserkennung und Reaktion auf Vorfälle. Ausführliche Abdeckung der Sicherheitsverwaltung und -überwachung finden Sie unter Azure Security Management and Monitoring Overview. Sehen Sie sich die Bewährten Methoden für die betriebliche Sicherheit von Azure an. Eine umfassende Übersicht über die betriebliche Sicherheit finden Sie in der Übersicht über die betriebliche Sicherheit von Azure.
Microsoft Sentinel
Microsoft Sentinel ist eine skalierbare, cloudnative Lösung für SIEM (Security Information & Event Management) und SOAR (Security Orchestration, Automation, and Response). Microsoft Sentinel bietet intelligente Sicherheits- und Bedrohungsanalysen für das gesamte Unternehmen und stellt eine zentrale Lösung für Angriffs- und Bedrohungserkennung, proaktives Hunting und die Reaktion auf Bedrohungen dar.
Microsoft Sentinel ist jetzt im Microsoft Defender-Portal für alle Kunden verfügbar und bietet eine einheitliche Sicherheitsoperationserfahrung, die Workflows optimiert und die Sichtbarkeit verbessert. Die Integration mit Security Copilot ermöglicht Analysten die Interaktion mit Microsoft Sentinel-Daten mithilfe natürlicher Sprache, generieren Suchabfragen und automatisieren Untersuchungen für schnellere Bedrohungsreaktionen.
Microsoft Defender for Cloud
Microsoft Defender für Cloud hilft Ihnen, Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren, indem Sie mehr Einblicke in die Sicherheit Ihrer Azure-Ressourcen erhalten und kontrollieren. Microsoft Defender für Cloud bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung in Ihren Azure-Abonnements, hilft beim Erkennen von Bedrohungen, die andernfalls unbemerkt sind, und arbeitet mit einem breiten Ökosystem von Sicherheitslösungen.
Microsoft Defender für Cloud bietet umfassenden Schutz mit workloadspezifischen Plänen, einschließlich:
- Defender für Server – Erweiterter Bedrohungsschutz für Windows- und Linux-Server
- Defender für Container – Sicherheit für containerisierte Anwendungen und Kubernetes
- Defender for Storage – Bedrohungserkennung mit Schadsoftwareüberprüfung und vertraulicher Datenermittlung
- Defender für Datenbanken – Schutz für Azure SQL, Azure-Datenbank für MySQL und PostgreSQL
- Defender for AI Services – Laufzeitschutz für Azure AI-Dienste gegen Jailbreak-Versuche, Datenexposition und verdächtige Zugriffsmuster
- Defender CSPM – Cloud Security Posture Management mit Angriffspfadanalyse, Sicherheitsgovernance und KI-Sicherheitsstatusverwaltung
Darüber hinaus hilft Defender für Cloud bei Sicherheitsvorgängen, indem Sie ein einzelnes Dashboard bereitstellen, das Warnungen und Empfehlungen anzeigt, auf die Sie sofort reagieren können. Die Security Copilot-Integration bietet KI-generierte Zusammenfassungen, Wartungsskripts und Delegierungsfunktionen, um die Risikobehebung zu beschleunigen.
Umfassende Funktionen zur Bedrohungserkennung in Azure finden Sie unter Azure Threat Protection.
VM-Datenträgerverschlüsselung
Standardmäßig hilft Ihnen die Verschlüsselung beim Host , Ihre IaaS-Datenträger für virtuelle Computer zu verschlüsseln. Sie stellt serverseitige Verschlüsselung auf VM-Hostebene mithilfe der AES 256-Verschlüsselung bereit, die FIPS 140-2-kompatibel ist. Diese Verschlüsselung erfolgt ohne Verbrauch von VM-CPU-Ressourcen und bietet End-to-End-Verschlüsselung für temporäre Datenträger, Betriebssystem-/Datenträgercaches und Datenflüsse in Azure Storage. Standardmäßig werden plattformverwaltete Schlüssel ohne zusätzliche Konfiguration verwendet. Optional können Sie die Lösung mit vom Kunden verwalteten Schlüsseln konfigurieren, die in Azure Key Vault oder azure Key Vault Managed HSM gespeichert sind, wenn Sie Ihre eigenen Datenträgerverschlüsselungsschlüssel steuern und verwalten müssen. Die Lösung stellt sicher, dass alle Daten auf den Datenträgern des virtuellen Computers im Ruhezustand in Ihrem Azure-Speicher verschlüsselt werden. Weitere Informationen zu Schlüsselverwaltungsoptionen finden Sie unter Schlüsselverwaltung in Azure.
Azure Resource Manager
Mit dem Azure Resource Manager können Sie als Gruppe mit den Ressourcen in Ihrer Lösung arbeiten. Sie können alle Ressourcen für Ihre Lösung in einem einzigen koordinierten Vorgang bereitstellen, aktualisieren oder löschen. Sie verwenden eine Azure Resource Manager-Vorlage für die Bereitstellung, und diese Vorlage kann für verschiedene Umgebungen wie Tests, Staging und Produktion funktionieren. Der Ressourcen-Manager bietet Sicherheits-, Überwachungs- und Kennzeichnungsfunktionen, mit denen Sie Ihre Ressourcen nach der Bereitstellung verwalten können.
Vorlagenbasierte Bereitstellungen von Azure Resource Manager helfen, die Sicherheit der in Azure bereitgestellten Lösungen zu verbessern, da Standardeinstellungen für die Sicherheitssteuerung in standardisierte vorlagenbasierte Bereitstellungen integriert werden können. Vorlagen verringern das Risiko von Fehlern bei der Sicherheitskonfiguration, die möglicherweise bei manuellen Bereitstellungen auftreten können.
Application Insights
Application Insights ist ein flexibler APM-Dienst (Application Performance Management), der für Webentwickler entwickelt wurde. Sie können damit Ihre aktiven Webanwendungen überwachen und automatisch Leistungsanomalien erkennen. Mithilfe leistungsstarker Analysetools können Sie Probleme diagnostizieren und Einblicke in Benutzerinteraktionen mit Ihren Apps erhalten. Application Insights überwacht Ihre Anwendung kontinuierlich, von der Entwicklung über Tests bis hin zur Produktion.
Application Insights generiert aufschlussreiche Diagramme und Tabellen. Diese zeigen Zeiten mit der höchsten Benutzeraktivität, die Reaktionsfähigkeit der App und die Leistung aller zugrunde liegenden externen Dienste.
Im Falle von Abstürzen, Fehlern oder Leistungsproblemen können Sie die Daten im Detail durchsuchen, um die Fehlerursache zu ermitteln. Der Dienst sendet Ihnen E-Mails, wenn Änderungen an der Verfügbarkeit und Leistung Ihrer App vorliegen. Application Insights wird daher zu einem wertvollen Sicherheitstool, da es bei der Verfügbarkeit hilft, die zu den drei Sicherheitsbereichen zählt: Vertraulichkeit, Integrität und Verfügbarkeit.
Azure Monitor
Azure Monitor bietet Visualisierung, Abfrage, Routing, Warnung, Autoskalierung und Automatisierung von Daten sowohl aus dem Azure-Abonnement (Aktivitätsprotokoll) als auch jeder einzelnen Azure-Ressource (Ressourcenprotokolle). Mit Azure Monitor können Sie sich bei sicherheitsrelevanten Ereignissen warnen lassen, die in Azure-Protokollen generiert werden.
Azure Monitor-Protokolle
Azure Monitor-Protokolle bieten zusätzlich zu Azure-Ressourcen eine IT-Verwaltungslösung für lokale und cloudbasierte Infrastruktur von Drittanbietern (z. B. Amazon Web Services). Daten von Azure Monitor können direkt an Azure Monitor-Protokolle weitergeleitet werden, sodass Sie die Metriken und Protokolle für Ihre gesamte Umgebung an einem Ort finden.
Azure Monitor-Protokolle kann ein hilfreiches Tool bei forensischen und anderen Sicherheitsanalysen sein, da Sie mit dem Tool schnell große Mengen von sicherheitsbezogenen Einträgen mit einem flexiblen Abfrageansatz durchsuchen können. Darüber hinaus können lokale Firewall- und Proxyprotokolle in Azure exportiert und mithilfe von Azure Monitor-Protokollen zur Analyse zur Verfügung gestellt werden.
Azure Advisor
Azure Advisor ist ein personalisierter Cloudberater, der Ihnen hilft, Ihre Azure-Bereitstellungen zu optimieren. Diese Lösung analysiert Ihre Ressourcenkonfiguration und Nutzungsdaten. Es empfiehlt dann Lösungen, um die Leistung, Sicherheit und Zuverlässigkeit Ihrer Ressourcen zu verbessern, während Sie nach Möglichkeiten suchen, ihre gesamten Azure-Ausgaben zu reduzieren. Der Azure Advisor bietet Sicherheitsempfehlungen, die den Gesamtsicherheitsstatus für Lösungen erheblich verbessern können, die Sie in Azure bereitstellen. Diese Empfehlungen stammen aus der Sicherheitsanalyse von Microsoft Defender für Cloud.
Identitäts- und Zugriffsverwaltung
Identität ist der primäre Sicherheitsperimeter in Cloud Computing. Der Schutz von Identitäten und das Steuern des Zugriffs auf Ressourcen ist für die Sicherung Ihrer Azure-Umgebung von grundlegender Bedeutung. Die Microsoft Entra-ID bietet umfassende Identitäts- und Zugriffsverwaltungsfunktionen. Ausführliche Informationen finden Sie in der Azure Identity Management-Übersicht. Bewährte Methoden für das Identitätsmanagement finden Sie unter Azure Identity Management und Best Practices zur Zugangskontrollsicherheit. Anleitungen zum Sichern der Identitätsinfrastruktur finden Sie in fünf Schritten zum Sichern Ihrer Identitätsinfrastruktur.
Microsoft Entra ID
Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Sie bietet:
- Single Sign-On (SSO): Ermöglichen Sie Benutzern den Zugriff auf mehrere Anwendungen mit einer Gruppe von Anmeldeinformationen.
- Mehrstufige Authentifizierung (Multi-Factor Authentication, MFA): Mehrere Überprüfungsformen für die Anmeldung erforderlich
- Bedingter Zugriff: Steuern des Zugriffs auf Ressourcen basierend auf Benutzer, Gerät, Standort und Risiko
- Identitätsschutz: Erkennen und Reagieren auf identitätsbasierte Risiken
- Privileged Identity Management (PIM): Bereitstellen des just-in-time privilegierten Zugriffs auf Azure-Ressourcen
- Identitätsverwaltung: Verwaltung des Identitätslebenszyklus und der Zugriffsrechte
Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)
Azure role-based access control (RBAC) hilft Ihnen, zu verwalten, wer Zugriff auf Azure-Ressourcen hat, was sie mit diesen Ressourcen tun können und auf welche Bereiche sie Zugriff haben. RBAC bietet eine differenzierte Zugriffsverwaltung für Azure-Ressourcen, sodass Sie Benutzern nur die Rechte gewähren können, die sie zum Ausführen ihrer Aufgaben benötigen.
Microsoft Entra Privileged Identity Management
Mit Microsoft Entra Privileged Identity Management (PIM) können Sie den Zugriff auf wichtige Ressourcen in Ihrer Organisation verwalten, steuern und überwachen. PIM bietet zeitbasierte und genehmigungsbasierte Rollenaktivierung, um die Risiken übermäßiger, unnötiger oder missbrauchter Zugriffsberechtigungen zu minimieren.
Verwaltete Identitäten für Azure-Ressourcen
Verwaltete Identitäten für Azure-Ressourcen stellen Azure-Dienste mit einer automatisch verwalteten Identität in Microsoft Entra ID bereit. Verwenden Sie diese Identität, um sich bei jedem Dienst zu authentifizieren, der die Microsoft Entra-Authentifizierung unterstützt, ohne dass Anmeldeinformationen in Ihrem Code vorhanden sind.
Patchupdates bieten die Grundlage für das Auffinden und Beheben potenzieller Probleme und vereinfachen den Softwareupdateverwaltungsprozess. Sie verringern die Anzahl der Softwareupdates, die Sie in Ihrem Unternehmen bereitstellen müssen, und erhöhen ihre Fähigkeit zur Überwachung der Compliance.
Verwaltung von Sicherheitsrichtlinien und Berichtserstellung
Defender für Cloud hilft Ihnen dabei, Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren. Es bietet Ihnen eine erhöhte Sichtbarkeit und Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet eine integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements. Es hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum von Sicherheitslösungen verwendet werden.
Sichere Identität
Microsoft verwendet mehrere Sicherheitsmaßnahmen und -technologien für seine Produkte und Dienste für die Identitäts- und Zugriffsverwaltung.
Für die mehrstufige Authentifizierung müssen Benutzer mehrere Methoden für den Zugriff, lokal und in der Cloud verwenden. Mit einer Reihe einfacher Verifizierungsoptionen wird für eine leistungsstarke Authentifizierung gesorgt und gleichzeitig die Benutzeranforderungen an einen einfachen Anmeldeprozess erfüllt.
Microsoft Authenticator bietet eine benutzerfreundliche mehrstufige Authentifizierung, die sowohl mit Microsoft Entra-ID als auch mit Microsoft-Konten funktioniert. Es umfasst Unterstützung für Wearables und Fingerabdruck-basierte Genehmigungen.
Erzwingung der Kennwortrichtlinie erhöht die Sicherheit herkömmlicher Kennwörter, indem Anforderungen hinsichtlich Länge und Komplexität sowie eine regelmäßige erzwungene Rotation und Kontosperrungen nach fehlgeschlagenen Authentifizierungsversuchen durchgesetzt werden.
Die tokenbasierte Authentifizierung ermöglicht die Authentifizierung über die Microsoft Entra-ID.
Mithilfe der rollenbasierten Zugriffssteuerung (Azure RBAC) können Sie basierend auf der zugewiesenen Rolle des Benutzers Zugriff gewähren. Es ist einfach, Benutzern nur den Zugriff zu gewähren, den sie benötigen, um ihre Aufgaben auszuführen. Sie können Azure RBAC gemäß dem Geschäftsmodell und der Risikotoleranz Ihrer Organisation anpassen.
Mit der integrierten Identitätsverwaltung (Hybrididentität) können Sie den Zugriff der Benutzer über interne Rechenzentren und Cloudplattformen hinweg verwalten. Er erstellt eine einzelne Benutzeridentität für die Authentifizierung und Autorisierung für alle Ressourcen.
Sichere Apps und Daten
Microsoft Entra ID, eine umfassende Cloudlösung für Identitäts- und Zugriffsverwaltung, hilft beim sicheren Zugriff auf Daten in Anwendungen vor Ort und in der Cloud und vereinfacht die Verwaltung von Benutzern und Gruppen. Es kombiniert wesentliche Verzeichnisdienste, erweiterte Identitätskontrolle, Sicherheit und Anwendungszugriffsverwaltung und gestaltet es für Entwickler einfach, eine richtlinienbasierte Identitätsverwaltung in ihre Apps zu integrieren. Um Ihre Microsoft Entra-ID zu verbessern, können Sie kostenpflichtige Funktionen mithilfe der Editionen Microsoft Entra Basic, Premium P1 und Premium P2 hinzufügen.
Cloud App Discovery ist ein Premiumfeature von Microsoft Entra ID, mit dem Sie Cloudanwendungen identifizieren können, die Mitarbeiter in Ihrer Organisation verwenden.
Microsoft Entra ID-Schutz ist ein Sicherheitsdienst, der die Funktionen von Microsoft Entra ID zur Erkennung von Anomalien verwendet, um eine konsolidierte Ansicht zu Risikoerkennungen und potenziellen Sicherheitslücken zu bieten, die sich auf die Identitäten Ihrer Organisation auswirken könnten.
Mit Microsoft Entra Domain Services können Sie Azure-VMs in eine Domäne einbinden, ohne Domänencontroller bereitstellen zu müssen. Die Benutzer melden sich mit den Active Directory-Anmeldeinformationen ihres Unternehmens an diesen virtuellen Computern an und können nahtlos auf Ressourcen zugreifen.
Microsoft Entra B2C ist ein hoch verfügbarer, globaler Identitätsverwaltungsdienst für kundenorientierte Apps, der für Hunderte Millionen von Identitäten skaliert und plattformübergreifend (mobil und Web) integriert werden kann. Ihre Kunden können sich über anpassbare Benutzeroberflächen, die vorhandene Konten für soziale Netzwerke verwenden, bei all Ihren Apps anmelden. Sie können aber auch neue eigenständige Anmeldeinformationen erstellen.
Die Microsoft Entra B2B Collaboration ist eine sichere Lösung zur Partnerintegration, die Partnern den gezielten Zugriff auf Ihre Unternehmensanwendungen und Unternehmensdaten über ihre selbstverwalteten Identitäten ermöglicht und so Ihre unternehmensübergreifenden Beziehungen unterstützt.
In Microsoft Entra eingebunden ermöglicht Ihnen das Erweitern von Cloudfunktionen auf Windows 10-Geräte für die zentrale Verwaltung. Dadurch erhalten Benutzer die Möglichkeit, über Microsoft Entra ID eine Verbindung mit der Cloud des Unternehmens oder der Organisation herzustellen, und der Zugriff auf Apps und Ressourcen wird vereinfacht.
Der Microsoft Entra-Anwendungsproxy ermöglicht das einmalige Anmelden (SSO) und den sicheren Remotezugriff für lokal gehostete Webanwendungen.
Nächste Schritte
Informieren Sie sich über die gemeinsame Verantwortung in der Cloud.
Erfahren Sie, wie Microsoft Defender für Cloud Ihnen helfen kann, Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren, indem Sie eine erhöhte Sichtbarkeit und Kontrolle über die Sicherheit Ihrer Azure-Ressourcen bieten.
Erkunden Sie bewährte Methoden und Muster für azure-Sicherheit , um zusätzliche Sicherheitsempfehlungen zu erhalten.
Überprüfen Sie den Microsoft Cloud Security-Benchmark für umfassende Sicherheitsleitlinien.
Siehe End-to-End-Sicherheit in Azure , um eine Sicherheits-, Erkennungs- und Antwortansicht der Azure-Sicherheitsarchitektur zu erhalten.