Übersicht – Anwenden von Zero Trust-Prinzipien auf Azure-Netzwerke

Diese Artikelreihe hilft Ihnen basierend auf einem multidisziplinären Ansatz, die Prinzipien von Zero Trust auf Ihre Netzwerkinfrastruktur in Microsoft Azure anzuwenden. Zero Trust ist eine Sicherheitsstrategie. Es handelt sich nicht um ein Produkt oder einen Dienst, sondern um einen Entwurfs- und Implementierungsansatz für die folgenden Sicherheitsprinzipien.

• Explizit verifizieren
• Geringstmögliche Zugriffsberechtigungen verwenden
• Von einer Sicherheitsverletzung ausgehen

Die Umsetzung des Zero-Trust-Gedankens, d. h. „Verstöße erwarten, niemals vertrauen, immer verifizieren“, erfordert Änderungen an der Cloud-Netzwerkinfrastruktur, der Bereitstellungsstrategie und der Implementierung.

In den folgenden Artikeln wird gezeigt, wie Sie den Zero Trust-Ansatz auf Netzwerke für häufig bereitgestellte Azure-Infrastrukturdienste anwenden:

• Verschlüsselung
• Segmentierung
• Gewinnen von Einblicken in Ihren Netzwerkdatenverkehr
• Einstellen der Legacy-Netzwerksicherheitstechnologie

Wichtig

In diesem Zero Trust-Leitfaden wird beschrieben, wie Sie mehrere in Azure verfügbare Sicherheitslösungen und -funktionen für eine Referenzarchitektur verwenden und konfigurieren. Mehrere andere Ressourcen bieten ebenfalls Sicherheitshinweise für diese Lösungen und Funktionen, darunter:

• Microsoft Cloud Security Benchmark
• Microsoft Cloud Security Baseline

Um zu beschreiben, wie ein Zero Trust-Ansatz angewendet wird, zielt dieser Leitfaden auf ein gängiges Muster ab, das von vielen Organisationen in der Produktion verwendet wird: eine auf einer virtuellen Maschine basierende Anwendung, die in einem VNet (und einer IaaS-Anwendung) gehostet wird. Dies ist ein gängiges Muster für Organisationen, die lokale Anwendungen nach Azure migrieren, das manchmal als „Lift-and-Shift“ bezeichnet wird.

Bedrohungsschutz mit Microsoft Defender für Cloud

Für das Zero Trust-Prinzip Sicherheitsverletzung annehmen für Azure-Netzwerke ist Microsoft Defender for Cloud eine erweiterte XDR-Lösung (Detection and Response), die Signal-, Bedrohungs- und Warnungsdaten aus Ihrer gesamten Umgebung automatisch sammelt, korreliert und analysiert. Defender for Cloud sollte zusammen mit Microsoft Defender XDR verwendet werden, um einen umfassenderen, korrelierten Schutz Ihrer Umgebung zu gewährleisten, wie im folgenden Diagramm dargestellt.

In der Abbildung:

• Defender für Cloud ist für eine Verwaltungsgruppe aktiviert, die mehrere Azure-Abonnements umfasst.
• Microsoft Defender XDR ist für Microsoft 365-Apps und -Daten, SaaS-Apps, die in Microsoft Entra ID integriert sind, und lokale Active Directory Domain Services (AD DS) Server aktiviert.

Weitere Informationen zum Konfigurieren von Verwaltungsgruppen und zum Aktivieren von Defender für Cloud finden Sie unter:

• Organisieren von Abonnements in Verwaltungsgruppen und Zuweisen von Rollen zu Benutzern
• Aktivieren von Defender für Cloud für alle Abonnements in einer Verwaltungsgruppe

Zusätzliche Ressourcen

Weitere Artikel zum Anwenden von Zero Trust-Prinzipien auf Azure IaaS finden Sie in den folgenden Artikeln:

• Für Azure IaaS:
  • Azure Storage
  • Virtuelle Computer
  • Spoke virtuelle Netzwerke
  • Virtuelle Hubnetzwerke
  • Spoke virtuelle Netzwerke mit Azure PaaS-Diensten
• Azure Virtual Desktop
• Azure Virtual WAN
• IaaS-Anwendungen in Amazon Web Services
• Microsoft Sentinel und Microsoft Defender XDR