Konfigurieren von Firewalleinstellungen für Azure-Ressourcen

In dieser Lektion wird eine Sammlung bewährter Methoden für Azure erläutert, um Ihre Netzwerksicherheit zu verbessern. Diese bewährten Methoden sind aus unseren Erfahrungen mit dem Azure-Netzwerk und den Erfahrungen von Kunden wie Ihnen abgeleitet.

In diesem Artikel wird für jede bewährte Methode Folgendes erläutert:

• Wobei es bei der bewährten Methode geht
• Warum Sie die bewährte Methode nutzen sollten
• Was die Folge sein könnte, wenn Sie die bewährte Methode nicht aktivieren
• Mögliche Alternativen zur bewährten Methode
• Wie Sie erfahren können, wie Sie die empfohlenen Vorgehensweisen aktivieren

Diese bewährten Methoden basieren auf einer Konsensmeinung und den Fähigkeiten und Funktionssätzen der Azure-Plattform zum Erstellungszeitpunkt dieses Artikels. Meinungen und Technologien ändern sich im Laufe der Zeit. Dieser Artikel wird daher regelmäßig aktualisiert, um diese Änderungen widerzuspiegeln.

Verwenden von starken Netzwerksteuerungen

Sie können virtuelle Azure-Computer (VMs) und Appliances mit anderen Geräten im Netzwerk verbinden, indem Sie sie in Azure Virtual Networks anordnen. Dies ist ein Konstrukt, mit dem Sie virtuelle Netzwerkschnittstellenkarten mit einem virtuellen Netzwerk verbinden können, um die TCP/IP-basierte Kommunikation zwischen netzwerkfähigen Geräten zu ermöglichen. Virtuelle Computer, die mit einem Azure Virtual Network verbunden sind, können eine Verbindung mit Geräten im selben virtuellen Netzwerk, anderen virtuellen Netzwerken, im Internet oder sogar in eigenen lokalen Netzwerken herstellen.

Wenn Sie Ihr Netzwerk und die Sicherheit Ihres Netzwerks planen, empfehlen wir, Folgendes zu zentralisieren:

• Verwaltung von Kernnetzwerkfunktionen wie ExpressRoute, Bereitstellung von virtuellen Netzwerken und Subnetzen und IP-Adressvergabe.
• Kontrolle über Elemente der Netzwerksicherheit, etwa Funktionen virtueller Netzwerkappliances wie ExpressRoute, Bereitstellung von virtuellen Netzwerken und Subnetzen und IP-Adressvergabe.

Wenn Sie gemeinsame Verwaltungstools zum Überwachen Ihres Netzwerks und der Sicherheit Ihres Netzwerks verwenden, erhalten Sie einen klaren Einblick in beide Aspekte. Eine einfache und einheitliche Sicherheitsstrategie sorgt für weniger Fehler, da sie das menschliche Verständnis und die Zuverlässigkeit der Automatisierung erhöht.

Logische Segmentsubnetze

Virtuelle Azure-Netzwerke ähneln einem LAN in Ihrem lokalen Netzwerk. Virtuelle Azure-Netzwerke basieren auf der Idee, ein Netzwerk mit einem einzigen privaten IP-Adressraum zu erstellen, in dem Sie alle virtuellen Azure-Computer anordnen können. Die verfügbaren privaten IP-Adressräume liegen in den Bereichen der Klasse A (10.0.0.0/8), Klasse B (172.16.0.0/12) und Klasse C (192.168.0.0/16).

Zu den bewährten Methoden für die logische Segmentierung von Subnetzen gehören:

Bewährte Methode: Weisen Sie keine Zulassungsregeln mit umfassenden Bereichen zu (z. B. Zulassen von 0.0.0.0 bis 255.255.255.255).
Detail: Stellen Sie sicher, dass Problembehandlungsverfahren die Einrichtung dieser Regeltypen verhindern oder verbieten. Diese Zulassungsregeln führen zu einem falschen Gefühl der Sicherheit, und sie werden häufig von Red Teams gefunden und ausgenutzt.

Bewährte Methode: Segmentieren sie den größeren Adressraum in Subnetze.
Detail: Verwenden Sie CIDR-basierte Subnetzprinzipien, um Ihre Subnetze zu erstellen.

Bewährte Methode: Erstellen von Netzwerkzugriffssteuerelementen zwischen Subnetzen. Das Routing zwischen den Subnetzen wird automatisch durchgeführt, und es ist nicht erforderlich, Routingtabellen manuell zu konfigurieren. Standardmäßig gibt es keine Netzwerkzugriffssteuerung zwischen den Subnetzen, die Sie in virtuellen Azure-Netzwerken erstellen.
Detail: Verwenden Sie eine Netzwerksicherheitsgruppe , um vor unerwünschtem Datenverkehr in Azure-Subnetze zu schützen. Bei Netzwerksicherheitsgruppen (NSGs) handelt es sich um einfache zustandsbehaftete Paketuntersuchungeräte. NSGs verwenden den 5-Tupel-Ansatz (Quell-IP, Quellport, Ziel-IP, Zielport und Protokoll), um Zulassungs-/Verweigerungsregeln für den Netzwerkdatenverkehr zu erstellen. Sie können Datenverkehr für eine einzelne IP-Adresse, mehrere IP-Adressen und gesamte Subnetze in beiden Richtungen zulassen oder verweigern.

Bei der Verwendung von Netzwerksicherheitsgruppen für die Netzwerkzugriffssteuerung zwischen Subnetzen können Sie Ressourcen, die derselben Sicherheitszone oder Rolle angehören, in eigenen Subnetzen anordnen.

Bewährte Methode: Vermeiden Sie kleine virtuelle Netzwerke und Subnetze, um Einfachheit und Flexibilität zu gewährleisten. Detail: Die meisten Organisationen fügen mehr Ressourcen hinzu als ursprünglich geplant, und die Umverteilung von Adressen ist arbeitsintensiv. Die Verwendung von kleinen Subnetzen hat einen beschränkten Sicherheitswert, und das Zuordnen einer Netzwerksicherheitsgruppe für jedes Subnetz sorgt für Mehraufwand. Definieren Sie Subnetze allgemein, um Flexibilität für Wachstum sicherzustellen.

Bewährte Methode: Vereinfachen sie die Verwaltung von Gruppenregeln für Netzwerksicherheitsgruppen, indem Sie Anwendungssicherheitsgruppen definieren.
Detail: Definieren Sie eine Anwendungssicherheitsgruppe für Listen von IP-Adressen, von denen Sie denken, dass sie sich in Zukunft ändern könnten und in vielen Netzwerksicherheitsgruppen verwendet werden. Verwenden Sie aussagekräftige Namen für die Anwendungssicherheitsgruppen, damit andere Personen ihren Inhalt und Zweck verstehen.

Einführen eines Zero Trust-Ansatzes

Umkreisnetzwerke basieren auf der Annahme, dass alle Systeme in einem Netzwerk vertrauenswürdig sind. Die heutigen Mitarbeiter greifen jedoch von praktisch überall auf verschiedenen Geräten und Apps auf die Ressourcen ihrer Organisation zu, wodurch die Umkreissicherheitskontrollen irrelevant werden. Zugriffssteuerungsrichtlinien, die nur darauf basieren, wer auf eine Ressource zugreifen kann, sind nicht ausreichend. Um das Gleichgewicht zwischen Sicherheit und Produktivität zu wahren, müssen Sicherheitsadministratoren auch berücksichtigen, wie auf eine Ressource zugegriffen wird.

Netzwerke müssen sich über traditionelle Schutzmaßnahmen hinaus weiterentwickeln, da sie möglicherweise anfällig für Sicherheitsverletzungen sind: Ein Angreifer kann einen einzigen Endpunkt innerhalb der vertrauenswürdigen Grenze gefährden und dann schnell im gesamten Netzwerk Fuß fassen. Zero Trust-Netzwerke setzen das Konzept von Vertrauen anhand des Netzwerkstandorts in einem Umkreis außer Kraft. Stattdessen verwenden Zero Trust-Architekturen Vertrauensansprüche für Geräte und Benutzer, um den Zugriff auf Unternehmensdaten und -ressourcen zu steuern. Übernehmen Sie für neue Szenarien Zero Trust-Ansätze, die die Vertrauenswürdigkeit zum Zeitpunkt des Zugriffs überprüfen.

Bewährte Methoden:

Bewährte Methode: Gewähren des bedingten Zugriffs auf Ressourcen basierend auf Gerät, Identität, Zuverlässigkeit, Netzwerkstandort und mehr.
Detail: Mit dem bedingten Zugriff von Microsoft Entra können Sie die richtigen Zugriffskontrollen anwenden, indem Sie automatisierte Zugriffssteuerungsentscheidungen basierend auf den erforderlichen Bedingungen implementieren. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf die Azure-Verwaltung mit bedingtem Zugriff.

Bewährte Methode: Aktivieren des Portzugriffs nur nach der Workflowgenehmigung.
Detail: Sie können den Just-in-Time-VM-Zugriff in Microsoft Defender für Cloud verwenden, um eingehenden Datenverkehr an Ihre Azure-VMs zu sperren und die Gefährdung von Angriffen zu verringern und gleichzeitig bei Bedarf einen einfachen Zugriff auf die Verbindung mit virtuellen Computern zu ermöglichen.

Bewährte Methode: Gewähren Temporäre Berechtigungen zum Ausführen privilegierter Aufgaben, wodurch böswillige oder nicht autorisierte Benutzer keinen Zugriff erhalten, nachdem die Berechtigungen abgelaufen sind. Der Zugriff wird nur gewährt, wenn Benutzer ihn benötigen.
Detail: Verwenden Sie just-in-time-Zugriff in Microsoft Entra Privileged Identity Management oder in einer Drittanbieterlösung, um Berechtigungen zum Ausführen privilegierter Aufgaben zu erteilen.

Zero Trust ist der nächste Entwicklungsschritt im Rahmen der Netzwerksicherheit. Die Cyberangriffssituation bringt Organisationen dazu, grundsätzlich von Sicherheitsverletzungen auszugehen, aber dieser Ansatz sollte nicht zu Beschränkungen führen. Zero Trust-Netzwerke schützen Unternehmensdaten und -ressourcen und stellen gleichzeitig sicher, dass Organisationen mithilfe von Technologien, mit denen Mitarbeiter jederzeit, überall und auf jede erdenkliche Weise produktiv arbeiten können, ein modernes Unternehmen schaffen können.

Steuern des Routingverhaltens

Wenn Sie einen virtuellen Computer in einem Azure Virtual Network anordnen, kann die VM eine Verbindung mit jeder anderen VM in demselben virtuellen Netzwerk verbinden, auch wenn sich die anderen VMs in unterschiedlichen Subnetzen befinden. Dies ist möglich, weil standardmäßig aktivierte Systemrouten diese Art der Kommunikation ermöglichen. Diese Standardrouten ermöglichen VMs in demselben virtuellen Netzwerk die Initiierung von Verbindungen untereinander und mit dem Internet (gilt nur für ausgehende Kommunikation mit dem Internet).

Die standardmäßigen Systemrouten sind zwar für viele Bereitstellungsszenarien nützlich, aber es kann auch vorkommen, dass Sie die Routingkonfiguration für Ihre Bereitstellungen anpassen möchten. Sie können die nächste Hopadresse konfigurieren, um bestimmte Ziele zu erreichen.

Wir empfehlen Ihnen, beim Bereitstellen einer Sicherheitsappliance für ein virtuelles Netzwerk benutzerdefinierte Routen zu konfigurieren. Wir erläutern diese Empfehlung in einem späteren Abschnitt mit dem Titel Beschränken und Schützen Ihrer kritischen Ressourcen von Azure-Diensten auf Ihre virtuellen Netzwerke.

Verwenden virtueller Netzwerkappliances

Netzwerksicherheitsgruppen und benutzerdefiniertes Routing können ein gewisses Maß an Netzwerksicherheit in der Netzwerk- und der Transportschicht des OSI-Modells bieten. Aber in einigen Situationen wollen oder müssen Sie die Sicherheit auf hohen Ebenen des Stapels aktivieren. In diesen Situationen ist es ratsam, von Azure-Partnern angebotene Appliances für die Sicherheit virtueller Netzwerke bereitzustellen.

Sicherheitsappliances für Azure-Netzwerke können eine bessere Sicherheit bieten als die auf Netzwerkebene verfügbaren Steuerungsmöglichkeiten. Netzwerksicherheitsfunktionen, die von Sicherheitsappliances für virtuelle Netzwerke bereitgestellt werden, sind beispielsweise:

• Firewall
• Angriffserkennung/Eindringschutz
• Schwachstellenmanagement
• Anwendungssteuerung
• Netzwerkbasierte Erkennung von Anomalien
• Webfilterung
• Virenschutz
• Botnet-Schutz

Die für ein virtuelles Azure-Netzwerk verfügbaren Sicherheitsappliances finden Sie im Azure Marketplace. Suchen Sie nach den Begriffen „Sicherheit“ und „Netzwerksicherheit“.

Bereitstellen von Umkreisnetzwerken für Sicherheitszonen

Ein Umkreisnetzwerk (auch als DMZ bezeichnet) ist ein physisches oder logisches Netzwerksegment, das als zusätzliche Sicherheitsebene zwischen Ihren Ressourcen und dem Internet zu dient. Spezielle Geräte für die Netzwerkzugriffssteuerung am Rande eines Umkreisnetzwerks erlauben nur den gewünschten Datenverkehr in Ihrem virtuellen Netzwerk.

Umkreisnetzwerke sind nützlich, da Sie sich bei der Verwaltung, Überwachung, Protokollierung und Berichterstellung für die Netzwerkzugriffssteuerung auf die Geräte am Rand des Azure Virtual Network konzentrieren können. In einem Perimeter-Netzwerk aktivieren Sie in der Regel Distributed-Denial-of-Service (DDoS)-Schutz, Einbruchserkennungs-/Einbruchschutzsysteme (IDS/IPS), Firewallregeln und -richtlinien, Webfilterung, Antischadsoftware für Netzwerke und vieles mehr. Die Geräte für die Netzwerksicherheit sind zwischen dem Internet und Ihrem Azure Virtual Network angeordnet und verfügen in beiden Netzwerken über eine Schnittstelle.

Dies ist das grundlegende Design eines Umkreisnetzwerks, aber es gibt noch viele andere Designs, z. B. Back-to-Back, Tri-Homed und Multi-Homed.

Basierend auf dem zuvor beschriebenen Zero Trust-Konzept empfehlen wir für alle Bereitstellungen mit hohen Sicherheitsanforderungen die Nutzung eines Umkreisnetzwerks, um die Stufe der Netzwerksicherheit und der Zugriffssteuerung für Ihre Azure-Ressourcen zu erhöhen. Sie können Azure oder eine Drittanbieterlösung verwenden, um eine zusätzliche Sicherheitsebene zwischen Ihren Ressourcen und dem Internet bereitzustellen:

• Native Azure-Steuerelemente: Azure Firewall und Azure Web Application Firewall bieten grundlegende Sicherheitsvorteile. Zu den Vorteilen zählen eine vollständig zustandsbehaftete Firewall-as-a-Service, integrierte Hochverfügbarkeit, uneingeschränkte Cloudskalierbarkeit, FQDN-Filterung, Unterstützung für OWASP-Kernregelsätze sowie eine einfache Einrichtung und Konfiguration.
• Angebote von Drittanbietern: Suchen Sie im Azure Marketplace nach Angeboten für Next-Generation-Firewalls (NGFW) und anderen Drittanbieterangeboten, die vertraute Sicherheitstools und verbesserte Netzwerksicherheit bieten. Die Konfiguration ist möglicherweise komplexer, aber mit einem Angebot eines Drittanbieters können Sie eventuell bereits vorhandene Fähigkeiten und Kenntnisse einsetzen.

Vermeiden der Offenlegung gegenüber dem Internet mit dedizierten WAN-Links

Viele Organisationen haben sich für die Hybrid-IT-Route entschieden. Bei Hybrid-IT befinden sich manche Datenbestände des Unternehmens in Azure, während andere weiterhin lokal gespeichert sind. In vielen Fällen werden manche Komponenten eines Diensts in Azure ausgeführt, während andere Komponenten weiterhin lokal bleiben.

Bei einem Hybrid-IT-Szenario wird normalerweise eine Art von standortübergreifender Konnektivität verwendet. Standortübergreifende Konnektivität ermöglicht es dem Unternehmen, seine lokalen Netzwerke mit Azure Virtual Networks zu verbinden. Es sind zwei Lösungen für standortübergreifende Konnektivität verfügbar:

• Site-to-Site-VPN: Dies ist eine vertrauenswürdige, zuverlässige und bewährte Technologie, aber die Verbindung erfolgt über das Internet. Die Bandbreite ist mit einem Maximum von ca. 1,25 GBit/s relativ begrenzt. Site-to-Site-VPN ist in einigen Szenarien eine wünschenswerte Option.
• Azure ExpressRoute. Wir empfehlen, dass Sie für Ihre standortübergreifende Konnektivität ExpressRoute verwenden. Mit ExpressRoute können Sie Ihre lokalen Netzwerke über eine private Verbindung, die von einem Konnektivitätsanbieter unterstützt wird, auf die Microsoft Cloud ausdehnen. Mit ExpressRoute können Sie Verbindungen mit Microsoft Cloud Services wie Azure, Microsoft 365 und Dynamics 365 herstellen. ExpressRoute ist ein dedizierter WAN-Link zwischen Ihrem lokalen Standort und einem Microsoft Exchange-Hostinganbieter. Da dies eine Telekommunikationsverbindung ist, werden Ihre Daten nicht über das Internet übertragen und unterliegen daher auch nicht den potenziellen Risiken der Internetkommunikation.

Der Standort Ihrer ExpressRoute-Verbindung kann sich auf die Firewall-Kapazität, die Skalierbarkeit, die Zuverlässigkeit und die Sichtbarkeit des Netzwerkdatenverkehrs auswirken. Sie müssen ermitteln, wo Sie ExpressRoute in vorhandenen (lokalen) Netzwerken beenden sollten. Sie haben folgende Möglichkeiten:

• Beenden außerhalb der Firewall (Umkreisnetzwerkparadigma): Greifen Sie auf diese Empfehlung zurück, wenn Sie Einblick in den Datenverkehr benötigen, eine vorhandene Methode der Isolation von Rechenzentren fortsetzen müssen oder ausschließlich Extranetressourcen in Azure integrieren.
• Beenden innerhalb der Firewall (Netzwerkerweiterungsparadigma): Dies ist die Standardempfehlung. In allen anderen Fällen wird empfohlen, Azure als weiteres Rechenzentrum zu behandeln.

Optimieren der Betriebszeit und Leistung

Wenn ein Dienst ausgefallen ist, kann nicht auf Informationen zugegriffen werden. Wenn die Leistung so schlecht ist, dass die Daten nicht genutzt werden können, werden die Daten als nicht verfügbar angesehen. Aus Gründen der Sicherheit müssen Sie alles unternehmen, um sicherzustellen, dass für Ihre Dienste eine optimale Betriebszeit und Leistung gewährleistet ist.

Eine beliebte und effektive Methode zum Verbessern der Verfügbarkeit und Leistung ist der Lastenausgleich. Der Lastenausgleich ist ein Verfahren zum Verteilen von Netzwerkdatenverkehr auf Server, die Teil eines Diensts sind. Wenn Sie im Rahmen Ihres Diensts beispielsweise Front-End-Webserver verwenden, können Sie den Lastenausgleich nutzen, um Datenverkehr auf die verschiedenen Front-End-Webserver zu verteilen.

Die Verteilung von Datenverkehr erhöht die Verfügbarkeit, weil Folgendes passiert, wenn einer der Webserver nicht mehr verfügbar ist: Das Lastenausgleichsmodul beendet das Senden von Datenverkehr an den Server und leitet ihn an die Server um, die noch online sind. Außerdem trägt der Lastenausgleich zur Steigerung der Leistung bei, da der Mehraufwand für den Prozessor, das Netzwerk und den Arbeitsspeicher zum Verarbeiten von Anforderungen auf alle Server mit Lastenausgleich verteilt wird.

Wir empfehlen Ihnen, den Lastenausgleich nach Möglichkeit immer zu nutzen, wenn diese Vorgehensweise für Ihre Dienste geeignet ist. Es folgen Szenarien sowohl auf der Ebene des Azure Virtual Network als auch auf der globalen Ebene, zusammen mit den jeweiligen Lastausgleichsoptionen.

Szenario: Sie haben eine Anwendung, die:

• Bei denen Anforderungen einer Benutzer-/Clientsitzung den gleichen virtuellen Back-End-Computer erreichen müssen. Beispiele hierfür wären Einkaufswagen-Apps und Web-E-Mail-Server.
• Dabei ist nur eine sichere Verbindung zulässig. Unverschlüsselte Kommunikation mit den Servern sind keine akzeptable Option.
• Für die mehrere HTTP-Anforderungen über die gleiche lange bestehende TCP-Verbindung an verschiedene Back-End-Server weitergeleitet werden bzw. für die dort ein Lastenausgleich erfolgen muss.

Option "Lastenausgleich": Verwenden Sie das Azure-Anwendungsgateway, einen HTTP-Datenverkehrslastenausgleich. Application Gateway unterstützt die End-to-End-TLS-Verschlüsselung und TLS-Terminierung am Gateway. Webserver können dann von Ver- und Entschlüsselungs-Overheads und unverschlüsseltem Datenverkehr zu den Back-End-Servern entlastet werden.

Szenario: Sie benötigen für eingehende Verbindungen aus dem Internet einen Lastenausgleich zwischen Ihren Servern in einem virtuellen Azure-Netzwerk. Szenarien sind, wenn Sie:

• Zustandslose Anwendungen haben, die eingehende Anforderungen aus dem Internet akzeptieren.
• Keine persistenten Sitzungen oder TLS-Auslagerung benötigen. Persistente Sitzungen sind eine Methode, die für den Anwendungslastenausgleich verwendet wird, um die Serveraffinität zu erreichen.

Option zum Lastenausgleich: Verwenden Sie das Azure-Portal, um einen externen Lastenausgleich zu erstellen , der eingehende Anforderungen über mehrere VMs verteilt, um eine höhere Verfügbarkeit zu bieten.

Szenario: Sie benötigen einen Lastenausgleich für Verbindungen von VMs, die sich nicht im Internet befinden. In den meisten Fällen werden die Verbindungen, die für den Lastenausgleich akzeptiert werden, von Geräten in einem Azure Virtual Network initiiert, wie z.B. SQL Server-Instanzen oder internen Webservern.
Option "Lastenausgleich": Verwenden Sie das Azure-Portal, um einen internen Lastenausgleich zu erstellen , der eingehende Anforderungen über mehrere VMs verteilt, um eine höhere Verfügbarkeit bereitzustellen.

Szenario: Sie benötigen einen globalen Lastenausgleich, da Sie:

• Eine Cloudlösung haben, die weit über mehrere Regionen verteilt ist und ein Höchstmaß an Betriebszeit (Verfügbarkeit) erfordert.
• Ein Höchstmaß an Uptime benötigen, um sicherzustellen, dass Ihr Dienst verfügbar ist, auch wenn ein ganzes Rechenzentrum ausfällt.

Option "Lastenausgleich": Verwenden Sie Azure Traffic Manager. Traffic Manager ermöglicht Ihnen den Lastenausgleich für Verbindungen mit Ihren Diensten basierend auf dem Standort des Benutzers.

Wenn ein Benutzer Ihren Dienst beispielsweise von einem EU-Standort aus anfordert, wird die Verbindung an Ihre Dienste umgeleitet, die in einem EU-Rechenzentrum angeordnet sind. Mit diesem Teil des globalen Lastenausgleichs von Traffic Manager können Sie die Leistung verbessern, da die Herstellung der Verbindung mit dem nächsten Rechenzentrum schneller als die Verbindung mit weit entfernten Rechenzentren möglich ist.

Deaktivieren des RDP/SSH-Zugriffs auf virtuelle Computer

Es ist möglich, mit dem Remotedesktopprotokoll (RDP) und dem Secure Shell-Protokoll (SSH) eine Verbindung mit virtuellen Azure-Computern herzustellen. Diese Protokolle ermöglichen die Remoteverwaltung von VMs und sind Standard im Rechenzentrum.

Das potenzielle Sicherheitsproblem bei der Verwendung dieser Protokolle über das Internet besteht darin, dass Angreifer Brute-Force-Verfahren einsetzen können, um Zugriff auf virtuelle Azure-Computer zu erlangen. Nachdem sich die Angreifer Zugang verschafft haben, können sie Ihre VM als Ausgangspunkt für die Kompromittierung anderer Computer im virtuellen Netzwerk nutzen oder sogar Netzwerkgeräte außerhalb von Azure angreifen.

Wir empfehlen Ihnen, den direkten RDP- und SSH-Zugriff auf Ihre virtuellen Azure-Computer über das Internet zu deaktivieren. Nachdem der direkte RDP- und SSH-Zugriff über das Internet deaktiviert wurde, haben Sie andere Möglichkeiten, um für die Durchführung der Remoteverwaltung auf diese VMs zuzugreifen.

Szenario: Ermöglichen Sie einem einzelnen Benutzer, eine Verbindung mit einem virtuellen Azure-Netzwerk über das Internet herzustellen.
Option: Point-to-Site VPN ist ein weiterer Begriff für eine VPN-Client-/Serververbindung für den Remotezugriff. Nachdem die Point-to-Site-Verbindung hergestellt wurde, kann der Benutzer per RDP oder SSH eine Verbindung mit allen VMs im Azure Virtual Network herstellen, mit denen der Benutzer per Point-to-Site-VPN-Verbindung verbunden ist. Hierbei wird davon ausgegangen, dass der Benutzer dazu berechtigt ist, auf diese VMs zuzugreifen.

Eine Point-to-Site-VPN-Verbindung ist sicherer als direkte RDP- oder SSH-Verbindungen, da sich der Benutzer zweimal authentifizieren muss, bevor er die Verbindung mit einer VM herstellen kann. Zunächst muss sich der Benutzer authentifizieren (und berechtigt sein), um die Point-to-Site-VPN-Verbindung herzustellen. Danach muss sich der Benutzer authentifizieren (und berechtigt sein), um die RDP- oder SSH-Sitzung zu erstellen.

Szenario: Ermöglichen Sie Benutzern in Ihrem lokalen Netzwerk, eine Verbindung mit virtuellen Computern in Ihrem virtuellen Azure-Netzwerk herzustellen.
Option: Ein Standort-zu-Standort-VPN verbindet ein gesamtes Netzwerk mit einem anderen Netzwerk über das Internet. Sie können eine Site-to-Site-VPN-Verbindung verwenden, um Ihr lokales Netzwerk mit einem Azure Virtual Network zu verbinden. Benutzer in Ihrem lokalen Netzwerk verbinden sich über das RDP- oder SSH-Protokoll über die Site-to-Site-VPN-Verbindung. Sie müssen keinen direkten RDP- oder SSH-Zugriff über das Internet ermöglichen.

Szenario: Verwenden Sie eine dedizierte WAN-Verbindung, um Funktionen wie das Standort-zu-Standort-VPN bereitzustellen.
Option: Verwenden Sie ExpressRoute. Es bietet ähnliche Funktionen wie eine Site-to-Site-VPN-Verbindung. Die wichtigsten Unterschiede sind:

• Die dedizierte WAN-Verbindung verläuft nicht über das Internet.
• Dedizierte WAN-Verbindungen sind in der Regel stabiler und leistungsfähiger.

Beschränken Ihrer kritischen Azure-Dienstressourcen auf Ihre virtuellen Netzwerke, um sie zu schützen

Verwenden Sie Azure Private Link für den Zugriff auf Azure-PaaS-Dienste (beispielsweise Azure Storage und SQL-Datenbank) über einen privaten Endpunkt in Ihrem virtuellen Netzwerk. Private Endpunkte ermöglichen es Ihnen, Ihre kritischen Azure-Dienstressourcen auf Ihre virtuellen Netzwerke zu beschränken und so zu schützen. Der Datenverkehr aus Ihrem virtuellen Netzwerk an den Azure-Dienst verbleibt immer im Backbone-Netzwerk von Microsoft Azure. Es ist nicht mehr erforderlich Ihr virtuelles Netzwerk im öffentlichen Internet verfügbar zu machen, um Azure-PaaS-Dienste zu nutzen.

Azure Private Link bietet folgende Vorteile:

• Verbesserte Sicherheit für Ihre Azure-Dienstressourcen: Mit Azure Private Link können Azure-Dienstressourcen mithilfe eines privaten Endpunkts in Ihrem virtuellen Netzwerk gesichert werden. Wenn Sie Dienstressourcen in einem virtuellen Netzwerk mithilfe eines privaten Endpunkts schützen, erhöht das die Sicherheit, da der Zugriff auf Ressourcen über das öffentliche Internet vollständig verhindert und nur Datenverkehr vom privater Endpunkt in Ihrem virtuellen Netzwerk zugelassen wird.
• Privater Zugriff auf Azure-Dienstressourcen auf der Azure-Plattform: Verbinden Sie Ihr virtuelles Netzwerk mit Diensten in Azure mithilfe privater Endpunkte. Eine öffentliche IP-Adresse ist nicht erforderlich. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk.
• Zugriff von lokalen und peered-Netzwerken: Greifen Sie über ExpressRoute-Private-Peering, VPN-Tunnel und peered-virtuelle Netzwerke mithilfe privater Endpunkte auf Dienste zu, die in Azure ausgeführt werden. Es ist nicht erforderlich, ExpressRoute-Microsoft-Peering einzurichten oder über das Internet auf den Dienst zuzugreifen. Private Link ist eine sichere Möglichkeit, um Workloads zu Azure zu migrieren.
• Schutz vor Datenlecks: Ein privater Endpunkt wird nicht dem gesamten Dienst, sondern der Instanz einer PaaS-Ressource zugeordnet. Verbraucher können nur eine Verbindung zu der spezifischen Ressource herstellen. Der Zugriff auf alle anderen Ressourcen des Diensts ist blockiert. Dieser Mechanismus ermöglicht den Schutz vor Risiken aufgrund von Datenlecks.
• Globale Reichweite: Stellen Sie private Verbindungen zu Diensten her, die in anderen Regionen ausgeführt werden. Das virtuelle Netzwerk des Consumers kann sich beispielsweise in Region A befinden und eine Verbindung mit Diensten in Region B herstellen.
• Einfach einzurichten und zu verwalten: Sie benötigen nicht mehr reservierte, öffentliche IP-Adressen in Ihren virtuellen Netzwerken, um Azure-Ressourcen über eine IP-Firewall zu sichern. Es sind keine NAT- oder Gatewaygeräte erforderlich, um die privaten Endpunkte einzurichten. Private Endpunkte werden mithilfe eines einfachen Workflows konfiguriert. Auf Dienstseite können Sie auch problemlos die Verbindungsanforderungen für Ihre Azure-Dienstressource verwalten. Azure Private Link funktioniert auch für Consumer und Dienste, die zu unterschiedlichen Microsoft Entra-Mandanten gehören.

Weitere Informationen zu privaten Endpunkten und den Azure-Diensten und -Regionen, für die private Endpunkte verfügbar sind, finden Sie unter Azure Private Link.