Übersicht – Anwendung der Zero Trust-Prinzipien auf Azure IaaS
Zusammenfassung: Um Zero Trust-Prinzipien auf Azure IaaS-Komponenten und -Infrastruktur anzuwenden, müssen Sie zunächst die allgemeine Referenzarchitektur und die Komponenten von Azure-Speicher, virtuellen Computern und virtuellen Hub-and-Spoke-Netzwerken verstehen.
Diese Artikelserie hilft Ihnen, die Prinzipien von Zero Trust auf Ihre Workloads in Microsoft Azure IaaS anzuwenden, basierend auf einem multidisziplinären Ansatz zur Anwendung der Zero Trust-Prinzipien. Zero Trust ist eine Sicherheitsstrategie. Es handelt sich nicht um ein Produkt oder einen Dienst, sondern um einen Entwurfs- und Implementierungsansatz für die folgenden Sicherheitsprinzipien.
- Explizit verifizieren
- Geringstmögliche Zugriffsberechtigungen verwenden
- Von einer Sicherheitsverletzung ausgehen
Die Umsetzung des Zero-Trust-Gedankens, d. h. „Verstöße erwarten, niemals vertrauen, immer verifizieren“, erfordert Änderungen an der Cloud-Infrastruktur, der Bereitstellungsstrategie und der Implementierung.
Diese ersten fünf Artikel (einschließlich dieser Einführung) zeigen Ihnen, wie Sie den Zero Trust-Ansatz auf ein gemeinsames IT-Geschäftsszenario basierend auf Infrastrukturdiensten anwenden. Die Arbeit ist in Einheiten unterteilt, die wie folgt zusammen konfiguriert werden können:
- Azure Storage
- Virtuelle Computer
- Spoke Virtual Networks (VNets) für auf virtuellen Maschinen basierende Arbeitslasten
- Hub-VNets zur Unterstützung des Zugriffs auf viele Arbeitslasten in Azure
Weitere Informationen finden Sie unter Anwenden von Zero Trust-Prinzipien auf Azure Virtual Desktop.
Hinweis
Zukünftig werden weitere Artikel zu dieser Reihe hinzugefügt, darunter wie Unternehmen einen Zero Trust-Ansatz auf Anwendungen, Netzwerken, Daten und DevOps-Diensten anwenden können, die auf realen IT-Geschäftsumgebungen basieren.
Wichtig
In diesem Zero Trust-Leitfaden wird beschrieben, wie Sie mehrere in Azure verfügbare Sicherheitslösungen und -funktionen für eine Referenzarchitektur verwenden und konfigurieren. Mehrere andere Ressourcen bieten ebenfalls Sicherheitshinweise für diese Lösungen und Funktionen, darunter:
Um zu beschreiben, wie ein Zero Trust-Ansatz angewendet wird, zielt dieser Leitfaden auf ein gängiges Muster ab, das von vielen Organisationen in der Produktion verwendet wird: eine auf einer virtuellen Maschine basierende Anwendung, die in einem VNet (und einer IaaS-Anwendung) gehostet wird. Dies ist ein gängiges Muster für Organisationen, die lokale Anwendungen nach Azure migrieren, das manchmal als „Lift-and-Shift“ bezeichnet wird. Die Referenzarchitektur enthält alle Komponenten, die zur Unterstützung dieser Anwendung erforderlich sind, einschließlich Speicherdienste und einem Hub-VNet.
Die Referenzarchitektur spiegelt ein gängiges Bereitstellungsmuster in Produktionsumgebungen wider. Sie basiert nicht auf den im Cloud Adoption Framework (CAF) empfohlenen Zielzonen im Unternehmen, obwohl viele der bewährten Methoden in der Referenzarchitektur enthalten sind, z. B. die Verwendung eines dedizierten VNet zum Hosten von Komponenten, die den Zugriff auf die Anwendung (Hub-VNet) brokern.
Wenn Sie mehr über die in den Azure-Zielzonen des Cloud Adoption Framework empfohlenen Anleitungen erfahren möchten, sehen Sie sich die folgenden Ressourcen an:
Referenzarchitektur
Die folgende Abbildung zeigt die Referenzarchitektur für diese Zero Trust-Anleitung.
Diese Architektur enthält:
- Mehrere IaaS-Komponenten und -Elemente, einschließlich verschiedener Arten von Benutzern und IT-Verbrauchern, die von verschiedenen Standorten aus auf die App zugreifen. wie Azure, das Internet, lokal und Zweigstellen.
- Eine übliche dreistufige Anwendung, die eine Front-End-Stufe, eine Anwendungsstufe und eine Datenstufe enthält. Alle Stufen werden auf virtuellen Maschinen innerhalb eines VNet namens SPOKE ausgeführt. Der Zugriff auf die App wird durch ein weiteres VNet namens HUB geschützt, das zusätzliche Sicherheitsdienste enthält.
- Einige der am häufigsten verwendeten PaaS-Dienste in Azure, die IaaS-Anwendungen unterstützen, einschließlich rollenbasierter Zugriffssteuerung (RBAC) und Microsoft Entra ID, die zum Zero Trust-Sicherheitsansatz beitragen.
- Speicher-Blobs und Speicherdateien, die Objektspeicher für die von Benutzern freigegebenen Anwendungen und Dateien bereitstellen.
In dieser Artikelreihe werden die Empfehlungen für die Implementierung von Zero Trust für die Referenzarchitektur erläutert, indem jedes dieser größeren Teile, die in Azure gehostet werden, wie hier gezeigt, angesprochen wird.
Das Diagramm skizziert die größeren Bereiche der Architektur, die in jedem Artikel dieser Reihe behandelt werden:
Es ist wichtig zu beachten, dass die Anleitungen in dieser Artikelreihe spezifischer für diese Art von Architektur sind als die Anleitungen in den Architekturen Framework zur Cloud-Einführung und Azure-Zielzone. Wenn Sie die Anleitungen in einer dieser Ressourcen angewendet haben, lesen Sie auch diese Artikelreihe, um weitere Empfehlungen zu erhalten.
Informationen zu Azure-Komponenten
Das Referenzarchitekturdiagramm bietet eine topologische Ansicht der Umgebung. Es ist auch von Vorteil, logisch zu sehen, wie jede der Komponenten innerhalb der Azure-Umgebung organisiert werden kann. Das folgende Diagramm bietet eine Möglichkeit, Ihre Abonnements und Ressourcengruppen zu organisieren. Ihre Azure-Abonnements sind möglicherweise anders organisiert.
In diesem Diagramm ist die Azure-Infrastruktur in einem Microsoft Entra ID-Mandanten enthalten. In der folgenden Tabelle werden die verschiedenen Abschnitte beschrieben, die im Diagramm angezeigt werden.
Azure-Abonnements
Sie können die Ressourcen in mehr als einem Abonnement verteilen, wobei jedes Abonnement unterschiedliche Rollen innehaben kann, z. B. ein Netzwerkabonnement oder ein Sicherheitsabonnement. Dies wird in der zuvor genannten Dokumentation zum Framework zur Cloud-Einführung und zur Azure-Zielzone beschrieben. Die verschiedenen Abonnements können auch unterschiedliche Umgebungen enthalten, z. B. Produktions-, Entwicklungs- und Testumgebungen. Es hängt davon ab, wie Sie Ihre Umgebung und die Anzahl der Ressourcen trennen möchten, die Sie jeweils haben. Mithilfe einer Verwaltungsgruppe können ein oder mehrere Abonnements gemeinsam verwaltet werden. Dadurch können Sie Berechtigungen mit rollenbasierter Zugriffssteuerung (RBAC) und Azure-Richtlinien auf eine Gruppe von Abonnements anwenden, anstatt jedes Abonnement einzeln einzurichten.
Microsoft Defender für Cloud und Azure Monitor
Für jedes Azure-Abonnement ist eine Reihe von Azure Monitor-Lösungen und Defender für Cloud verfügbar. Wenn Sie diese Abonnements über eine Verwaltungsgruppe verwalten, können Sie alle Funktionen von Azure Monitor und Defender for Cloud in einem einzigen Portal zusammenfassen. Die von Defender for Cloud bereitgestellte Sicherheitsbewertung wird beispielsweise für alle Ihre Abonnements konsolidiert, wobei eine Verwaltungsgruppe als Bereich verwendet wird.
Speicherressourcengruppe (1)
Das Speicherkonto ist in einer dedizierten Ressourcengruppe enthalten. Sie können jedes Speicherkonto in einer anderen Ressourcengruppe isolieren, um eine detailliertere Berechtigungskontrolle zu erreichen. Azure-Speicherdienste sind in einem dedizierten Speicherkonto enthalten. Sie können für jede Art von Speicher-Workload ein Speicherkonto haben, zum Beispiel einen Objektspeicher (auch Blob-Speicher genannt) und Azure Files. Dies ermöglicht eine detailliertere Zugriffskontrolle und kann die Leistung verbessern.
Virtuelle Maschinen-Ressourcengruppe (2)
Virtuelle Maschinen sind in einer Ressourcengruppe enthalten. Sie können auch jeden virtuellen Maschinentyp für Arbeitslastebenen wie Front-End, Anwendung und Daten in verschiedenen Ressourcengruppen haben, um die Zugriffskontrolle weiter zu isolieren.
Spoke- (3) und Hub-VNet-Ressourcengruppen (4) in separaten Abonnements
Das Netzwerk und andere Ressourcen für jedes der VNets in der Referenzarchitektur sind in dedizierten Ressourcengruppen für Spoke- und Hub-VNets isoliert. Diese Organisation funktioniert gut, wenn die Verantwortung dafür bei verschiedenen Teams liegt. Eine andere Möglichkeit besteht darin, diese Komponenten zu organisieren, indem alle Netzwerkressourcen in einer Ressourcengruppe und Sicherheitsressourcen in einer anderen zusammengefasst werden. Es hängt davon ab, wie Ihre Organisation für die Verwaltung dieser Ressourcen eingerichtet ist.
Bedrohungsschutz mit Microsoft Defender für Cloud
Microsoft Defender für Cloud ist eine erweiterte Erkennungs- und Reaktionslösung (XDR), die automatisch Signal-, Bedrohungs- und Warndaten aus Ihrer gesamten Umgebung sammelt, korreliert und analysiert. Defender for Cloud sollte zusammen mit Microsoft Defender XDR verwendet werden, um einen umfassenderen, korrelierten Schutz Ihrer Umgebung zu gewährleisten, wie im folgenden Diagramm dargestellt.
In der Abbildung:
- Defender für Cloud ist für eine Verwaltungsgruppe aktiviert, die mehrere Azure-Abonnements umfasst.
- Microsoft Defender XDR ist für Microsoft 365-Apps und -Daten, SaaS-Apps, die in Microsoft Entra ID integriert sind, und lokale Active Directory Domain Services (AD DS) Server aktiviert.
Weitere Informationen zum Konfigurieren von Verwaltungsgruppen und zum Aktivieren von Defender für Cloud finden Sie unter:
- Organisieren von Abonnements in Verwaltungsgruppen und Zuweisen von Rollen zu Benutzern
- Aktivieren von Defender für Cloud für alle Abonnements in einer Verwaltungsgruppe
Sicherheitslösungen in dieser Artikelserie
Bei Zero Trust werden mehrere Disziplinen der Sicherheit und des Informationsschutzes gemeinsam angewendet. In dieser Artikelserie wird dieser multidisziplinäre Ansatz wie folgt auf jede der Arbeitseinheiten für Infrastrukturkomponenten angewendet:
Anwendung der Zero Trust-Prinzipien auf Azure Storage
- Schützen Sie Daten in allen drei Modi: ruhende Daten, Daten in Übertragung und Daten in Verwendung
- Überprüfen Sie Benutzer und steuern Sie den Zugriff auf Speicherdaten mit den geringsten Berechtigungen
- Trennen oder unterteilen Sie kritische Daten mithilfe von Netzwerkkontrollen logisch.
- Verwenden Sie Defender for Storage für die automatisierte Erkennung und den Schutz von Bedrohungen
Wenden Sie Zero Trust-Prinzipien auf virtuelle Mascinen in Azure an
- Konfigurieren Sie die logische Isolation für virtuelle Maschinen
- Nutzen Sie die rollenbasierte Zugriffskontrolle (RBAC)
- Sichere Boot-Komponenten für virtuelle Maschinen
- Aktivieren Sie vom Kunden verwaltete Schlüssel und doppelte Verschlüsselung
- Steuern Sie die auf virtuellen Maschinen installierten Anwendungen
- Konfigurieren des sicheren Zugriffs
- Richten Sie eine sichere Wartung virtueller Maschinen ein
- Aktivieren Sie erweiterte Bedrohungserkennung und Schutz.
Wenden Sie Zero Trust-Prinzipien auf ein Spoke-VNet in Azure an
- Verwenden Sie Microsoft Entra RBAC oder richten Sie benutzerdefinierte Rollen für Netzwerkressourcen ein
- Isolieren Sie die Infrastruktur in einer eigenen Ressourcengruppe
- Erstellen Sie für jedes Subnetz eine Netzwerksicherheitsgruppe
- Erstellen Sie für jede Rolle einer virtuellen Maschine eine Anwendungssicherheitsgruppe
- Sicherer Datenverkehr und Ressourcen innerhalb des VNet
- Sicherer Zugriff auf das VNet und die Anwendung
- Aktivieren Sie erweiterte Bedrohungserkennung und Schutz.
Wenden Sie Zero Trust-Prinzipien auf ein Hub-VNet in Azure an
- Sichere Azure Firewall Premium
- Stellen Sie Azure DDoS Protection Standard bereit
- Konfigurieren Sie das Netzwerk-Gateway-Routing zur Firewall
- Konfigurieren Sie den Bedrohungsschutz
Empfohlene Trainings für Zero Trust
Im Folgenden finden Sie die empfohlenen Trainingsmodule für Zero Trust.
Azure-Verwaltung und -Governance
| Training | Beschreiben der Azure-Verwaltung und -Governance |
|---|---|
|
Die Schulung zu Microsoft Azure-Grundlagen besteht aus drei Lernpfaden: „Microsoft Azure-Grundlagen: Beschreiben von Cloudkonzepten“, „Beschreiben der Azure-Architektur und -Dienste“ und „Beschreiben der Azure-Verwaltung und -Governance“. Microsoft Azure-Grundlagen: Das Beschreiben von Azure-Verwaltung und -Governance ist der dritte Lernpfad in Microsoft Azure-Grundlagen. In diesem Lernpfad werden die verfügbaren Verwaltungs- und Governanceressourcen zum Verwalten Ihrer Cloud- und lokalen Ressourcen untersucht. Dieser Lernpfad hilft Ihnen, sich auf die Prüfung AZ-900: Microsoft Azure Fundamentals vorzubereiten. |
Konfigurieren von Azure Policy
| Training | Konfigurieren von Azure Policy |
|---|---|
|
Erfahren Sie, wie Sie Azure Policy konfigurieren, um Complianceanforderungen zu implementieren. In diesem Modul lernen Sie Folgendes: |
Verwalten von Sicherheitsvorgängen
| Training | Verwalten Sie Sicherheitsabläufe |
|---|---|
|
Nachdem Sie Ihre Azure-Umgebung bereitgestellt und abgesichert haben, lernen Sie, die Sicherheit Ihrer Lösungen zu überwachen, zu betreiben und kontinuierlich zu verbessern. Dieser Lernpfad hilft Ihnen, sich auf die Prüfung AZ-500: Microsoft Azure Security Technologies vorzubereiten. |
Konfigurieren der Speichersicherheit
| Training | Konfigurieren Sie die Speichersicherheit |
|---|---|
|
Erfahren Sie, wie Sie gängige Azure Storage-Sicherheitsfeatures wie Speicherzugriffssignaturen konfigurieren. In diesem Modul lernen Sie Folgendes: |
Konfigurieren von Azure Firewall
| Training | Konfigurieren von Azure Firewall |
|---|---|
|
Hier erfahren Sie, wie die Azure Firewall und entsprechende Firewallregeln konfiguriert werden. Nach Abschluss dieses Moduls können Sie Folgendes: |
Weitere Trainings zur Sicherheit in Azure finden Sie in den folgenden Ressourcen im Microsoft-Katalog:
Sicherheit in Azure | Microsoft Learn
Nächste Schritte
Lesen Sie diese zusätzlichen Artikel zur Anwendung von Zero Trust-Prinzipien auf Azure:
- Für Azure IaaS:
- Azure Virtual Desktop
- Azure Virtual WAN
- IaaS-Anwendungen in Amazon Web Services
- Microsoft Sentinel und Microsoft Defender XDR
Weitere Artikel zur Anwendung von Zero Trust-Prinzipien auf Azure-Netzwerke finden Sie hier:
- Verschlüsselung
- Segmentierung
- Gewinnen von Einblicken in Ihren Netzwerkdatenverkehr
- Einstellen der Legacy-Netzwerksicherheitstechnologie
Technische Illustrationen
Dieses Poster bietet auf einer Seite eine Übersicht über die Komponenten von Azure IaaS als Referenz- und logische Architekturen sowie die Schritte, um sicherzustellen, dass diese Komponenten den „Niemals vertrauen, immer überprüfen“-Prinzipien des Zero-Trust-Modells angewandt werden.
| Element | Verwandte Lösungsleitfäden |
|---|---|
 PDF | Visio Aktualisiert im März 2024 |
Dieser Download enthält die Referenz- und logischen Architekturen sowie die detaillierten Konfigurationen der separaten Komponenten von Zero Trust für Azure IaaS. Verwenden Sie die Seiten dieses Downloads für separate IT-Abteilungen oder Spezialitäten oder passen Sie mit der Microsoft Visio-Version der Datei die Diagramme für Ihre Infrastruktur an.
| Artikel | Verwandte Lösungsleitfäden |
|---|---|
 PDF | Visio Aktualisiert im März 2024 |
Für weitere technische Illustrationen klicken Sie hier.
References
Weitere Informationen zu den verschiedenen in diesem Artikel erwähnten Diensten und Technologien finden Sie unter den folgenden Links.
- Was ist Azure – Microsoft Cloud Services
- Infrastructure-as-a-Service (IaaS) in Azure
- Virtuelle Computer (virtual machines, VMs) für Linux und Windows
- Einführung in Azure Storage
- Azure Virtual Network
- Einführung in Azure-Sicherheit
- Implementierungsanleitungen für Zero Trust
- Übersicht über Microsoft Cloud Security Benchmark
- Übersicht über die Sicherheitsgrundsätze für Azure
- Erstellen der ersten Verteidigungsebene mit Azure-Sicherheitsdiensten
- Referenzarchitekturen für Microsoft-Cybersicherheit
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für