Bewährte Methoden für die Netzwerksicherheit in Azure

In diesem Artikel werden bewährte Methoden zur Verbesserung der Netzwerksicherheit in Azure beschrieben. Diese bewährten Methoden stammen aus unserer Erfahrung mit Azure-Netzwerken und den Erfahrungen von Kunden wie sich selbst.

Diese bewährten Methoden basieren auf einer Konsensmeinung und den Fähigkeiten und Funktionssätzen der Azure-Plattform zum Erstellungszeitpunkt dieses Artikels. Meinungen und Technologien ändern sich im Laufe der Zeit. Dieser Artikel wird daher regelmäßig aktualisiert, um diese Änderungen widerzuspiegeln.

Dieser Artikel steht im Einklang mit dem Zero Trust-Sicherheitsmodell von Microsoft, das implizites Vertrauen basierend auf dem Netzwerkstandort beseitigt. Informationen zu präskriptiven Sicherheitskontrollen durch Erzwingung von Azure-Richtlinien finden Sie unter Microsoft Cloud Security Benchmark v2 – Netzwerksicherheit.

Verwenden von starken Netzwerksteuerungen

Sie können virtuelle Azure-Computer (VMs) und Appliances mit anderen Geräten im Netzwerk verbinden, indem Sie sie in Azure Virtual Networks anordnen. Dies ist ein Konstrukt, mit dem Sie virtuelle Netzwerkschnittstellenkarten mit einem virtuellen Netzwerk verbinden können, um die TCP/IP-basierte Kommunikation zwischen netzwerkfähigen Geräten zu ermöglichen. Virtuelle Computer, die mit einem Azure Virtual Network verbunden sind, können eine Verbindung mit Geräten im selben virtuellen Netzwerk, anderen virtuellen Netzwerken, im Internet oder sogar in eigenen lokalen Netzwerken herstellen.

Wenn Sie Ihr Netzwerk und die Sicherheit Ihres Netzwerks planen, empfehlen wir, Folgendes zu zentralisieren:

  • Verwaltung von Kernnetzwerkfunktionen wie ExpressRoute, Bereitstellung von virtuellen Netzwerken und Subnetzen und IP-Adressvergabe.
  • Kontrolle über Elemente der Netzwerksicherheit, etwa Funktionen virtueller Netzwerkappliances wie ExpressRoute, Bereitstellung von virtuellen Netzwerken und Subnetzen und IP-Adressvergabe.

Wenn Sie gemeinsame Verwaltungstools zum Überwachen Ihres Netzwerks und der Sicherheit Ihres Netzwerks verwenden, erhalten Sie einen klaren Einblick in beide Aspekte. Eine einfache und einheitliche Sicherheitsstrategie sorgt für weniger Fehler, da sie das menschliche Verständnis und die Zuverlässigkeit der Automatisierung erhöht.

  • Verwenden Sie virtuelle Netzwerkflussprotokolle für umfassende Datenverkehrssichtbarkeit: Virtuelle Netzwerkflussprotokolle bieten eine zentrale Sichtbarkeit des Datenverkehrs in Ihrem virtuellen Netzwerk und ersetzen NSG-Ablaufprotokolle für eine umfassendere Überwachungsabdeckung. Weitere Informationen finden Sie unter Übersicht über virtuelle Netzwerkflussprotokolle.

Logische Segmentsubnetze

Virtuelle Azure-Netzwerke ähneln einem LAN in Ihrem lokalen Netzwerk. Virtuelle Azure-Netzwerke basieren auf der Idee, ein Netzwerk mit einem einzigen privaten IP-Adressraum zu erstellen, in dem Sie alle virtuellen Azure-Computer anordnen können. Die verfügbaren privaten IP-Adressräume liegen in den Bereichen der Klasse A (10.0.0.0/8), Klasse B (172.16.0.0/12) und Klasse C (192.168.0.0/16).

Zu den bewährten Methoden für die logische Segmentierung von Subnetzen gehören:

  • Weisen Sie keine Zulassungsregeln mit breiten Bereichen zu (z. B. 0.0.0.0 bis 255.255.255.255).: Stellen Sie sicher, dass Die Problembehandlungsverfahren die Einrichtung dieser Regeltypen verhindern oder verbieten. Diese Zulassungsregeln führen zu einem falschen Gefühl der Sicherheit, und sie werden häufig von Red Teams gefunden und ausgenutzt.

  • Segmentieren Sie den größeren Adressraum in Subnetze.: Verwenden Sie CIDR-basierte Subnetzprinzipien, um Ihre Subnetze zu erstellen.

  • Erstellen von Netzwerkzugriffssteuerelementen zwischen Subnetzen. Das Routing zwischen den Subnetzen wird automatisch durchgeführt, und es ist nicht erforderlich, Routingtabellen manuell zu konfigurieren. Standardmäßig gibt es keine Netzwerkzugriffssteuerung zwischen den Subnetzen, die Sie in virtuellen Azure-Netzwerken erstellen.: Verwenden Sie eine Netzwerksicherheitsgruppe , um vor unerwünschtem Datenverkehr in Azure-Subnetze zu schützen. Bei Netzwerksicherheitsgruppen handelt es sich um einfache zustandsbehaftete Paketuntersuchungseinrichtungen. NSGs erstellen mit einem 5-Tupel-Ansatz (Quell-IP, Quellport, Ziel-IP, Zielport und Protokoll) Zulassungs-/Verweigerungsregeln für den Netzwerkdatenverkehr. Sie können Datenverkehr für eine einzelne IP-Adresse, mehrere IP-Adressen und gesamte Subnetze in beiden Richtungen zulassen oder verweigern.

Bei der Verwendung von Netzwerksicherheitsgruppen für die Netzwerkzugriffssteuerung zwischen Subnetzen können Sie Ressourcen, die derselben Sicherheitszone oder Rolle angehören, in eigenen Subnetzen anordnen.

  • Vermeiden Sie kleine virtuelle Netzwerke und Subnetze, um Einfachheit und Flexibilität zu gewährleisten.: Die meisten Organisationen fügen mehr Ressourcen als ursprünglich geplant hinzu, und die Neuzuweisung von Adressen ist arbeitsintensiv. Die Verwendung von kleinen Subnetzen hat einen beschränkten Sicherheitswert, und das Zuordnen einer Netzwerksicherheitsgruppe für jedes Subnetz sorgt für Mehraufwand. Definieren Sie Subnetze allgemein, um Flexibilität für Wachstum sicherzustellen.

  • Vereinfachen Sie die Verwaltung von Gruppenregeln für Netzwerksicherheitsgruppen, indem Sie Anwendungssicherheitsgruppen definieren. Definieren Sie eine Anwendungssicherheitsgruppe für Listen von IP-Adressen, die Sie in Zukunft ändern oder in vielen Netzwerksicherheitsgruppen verwendet werden können. Verwenden Sie aussagekräftige Namen für die Anwendungssicherheitsgruppen, damit andere Personen ihren Inhalt und Zweck verstehen.

Einführen eines Zero Trust-Ansatzes

Umkreisnetzwerke basieren auf der Annahme, dass alle Systeme in einem Netzwerk vertrauenswürdig sind. Heutzutage greifen Mitarbeiter jedoch von jedem Ort aus und über unterschiedliche Geräte und Apps auf ihre Organisationsressourcen zu. Dadurch sind Sicherheitskontrollen auf Basis des Umkreises nicht mehr relevant. Zugriffssteuerungsrichtlinien, die nur darauf basieren, wer auf eine Ressource zugreifen kann, sind nicht ausreichend. Um das Gleichgewicht zwischen Sicherheit und Produktivität zu wahren, müssen Sicherheitsadministratoren auch berücksichtigen, wie auf eine Ressource zugegriffen wird.

Netzwerke müssen sich von traditionellen Schutzmaßnahmen weiterentwickeln, da sie möglicherweise anfällig für Sicherheitsverletzungen sind: Ein Angreifer kann einen einzigen Endpunkt innerhalb der vertrauenswürdigen Grenze gefährden und dann schnell im gesamten Netzwerk Fuß fassen. Zero Trust-Netzwerke setzen das Konzept von Vertrauen anhand des Netzwerkstandorts in einem Umkreis außer Kraft. Stattdessen verwenden Zero Trust-Architekturen Vertrauensansprüche für Geräte und Benutzer, um den Zugriff auf Unternehmensdaten und -ressourcen zu steuern. Übernehmen Sie für neue Szenarien Zero Trust-Ansätze, die die Vertrauenswürdigkeit zum Zeitpunkt des Zugriffs überprüfen.

Bewährte Methoden:

  • Gewähren des bedingten Zugriffs auf Ressourcen basierend auf Gerät, Identität, Zuverlässigkeit, Netzwerkstandort und mehr.: Mit dem bedingten Zugriff von Microsoft Entra können Sie die richtigen Zugriffskontrollen anwenden, indem Sie automatisierte Zugriffssteuerungsentscheidungen basierend auf den erforderlichen Bedingungen implementieren. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf die Azure-Verwaltung mit bedingtem Zugriff.

  • Aktivieren Sie Portzugriff nur nach Workflowgenehmigung: Sie können den Just-in-Time-VM-Zugriff in Microsoft Defender for Cloud verwenden, um den eingehenden Datenverkehr zu Ihren Azure-VMs einzuschränken, wodurch die Angriffsfläche verringert wird und gleichzeitig bei Bedarf ein einfacher Zugriff für Verbindungen mit VMs ermöglicht wird. Weitere Informationen finden Sie unter Just-in-Time-VM-Zugriff in Microsoft Defender for Cloud.

  • Verwenden Sie Azure Bastion für den sicheren Remote-VM-Zugriff, ohne öffentliche IP-Adressen verfügbar zu machen oder eingehende Ports zu öffnen.: Azure Bastion bietet sichere und nahtlose RDP-/SSH-Konnektivität mit Ihren virtuellen Computern direkt über das Azure-Portal über TLS. Azure Bastion Developer SKU ist jetzt ohne zusätzliche Kosten in 35+ Azure-Regionen verfügbar, sodass sie ideal für Entwicklungs-/Testszenarien geeignet ist. Er beseitigt die Notwendigkeit von Jumpboxes oder das Verfügbarmachen von VMs im Internet, wodurch die Angriffsfläche erheblich reduziert wird, während der administrative Zugriff optimiert wird. Für Produktionsworkloads sollten Sie ein Upgrade auf Standard- oder Premium-SKUs für zusätzliche Features wie Hostskalierung und Sitzungsaufzeichnung in Betracht ziehen. Siehe Schnellstart: Verbinden Sie sich mit Azure Bastion Developer, um zu beginnen.

  • Gewähren Sie temporäre Berechtigungen zum Ausführen privilegierter Aufgaben, wodurch böswillige oder nicht autorisierte Benutzer nach Ablauf der Berechtigungen keinen Zugriff erhalten. Der Zugriff wird nur gewährt, wenn Benutzer ihn benötigen.: Verwenden Sie just-in-time-Zugriff in Microsoft Entra Privileged Identity Management oder in einer Drittanbieterlösung, um Berechtigungen zum Ausführen privilegierter Aufgaben zu erteilen.

Zero Trust ist der nächste Entwicklungsschritt bei der Netzwerksicherheit. Die Cyberangriffssituation bringt Organisationen dazu, grundsätzlich von Sicherheitsverletzungen auszugehen, aber dieser Ansatz sollte nicht zu Beschränkungen führen. Zero Trust-Netzwerke schützen Unternehmensdaten und -ressourcen und stellen gleichzeitig sicher, dass Organisationen mithilfe von Technologien, mit denen Mitarbeiter jederzeit, überall und auf jede erdenkliche Weise produktiv arbeiten können, ein modernes Unternehmen schaffen können.

Steuern des Routingverhaltens

Wenn Sie einen virtuellen Computer in einem Azure Virtual Network anordnen, kann die VM eine Verbindung mit jeder anderen VM in demselben virtuellen Netzwerk verbinden, auch wenn sich die anderen VMs in unterschiedlichen Subnetzen befinden. Dies ist möglich, weil standardmäßig aktivierte Systemrouten diese Art der Kommunikation ermöglichen. Diese Standardrouten ermöglichen VMs in demselben virtuellen Netzwerk die Initiierung von Verbindungen untereinander und mit dem Internet (gilt nur für ausgehende Kommunikation mit dem Internet).

Die standardmäßigen Systemrouten sind zwar für viele Bereitstellungsszenarien nützlich, aber es kann auch vorkommen, dass Sie die Routingkonfiguration für Ihre Bereitstellungen anpassen möchten. Sie können die nächste Hopadresse konfigurieren, um bestimmte Ziele zu erreichen.

Wir empfehlen Ihnen, beim Bereitstellen einer Sicherheitsappliance für ein virtuelles Netzwerk benutzerdefinierte Routen zu konfigurieren. Wir gehen in einem späteren Abschnitt mit dem Titel Beschränken und Schützen Ihrer kritischen Ressourcen von Azure-Diensten auf Ihre virtuellen Netzwerke näher auf diese Empfehlung ein.

Hinweis

Benutzerdefinierte Routen sind nicht erforderlich, und die Standardsystemrouten funktionieren in der Regel.

Verwenden virtueller Network Appliances

Netzwerksicherheitsgruppen und benutzerdefiniertes Routing können ein gewisses Maß an Netzwerksicherheit in der Netzwerk- und der Transportschicht des OSI-Modells bieten. Aber in einigen Situationen wollen oder müssen Sie die Sicherheit auf hohen Ebenen des Stapels aktivieren. In diesen Situationen ist es ratsam, von Azure-Partnern angebotene Appliances für die Sicherheit virtueller Netzwerke bereitzustellen.

Sicherheitsappliances für Azure-Netzwerke können eine bessere Sicherheit bieten als die auf Netzwerkebene verfügbaren Steuerungen. Netzwerksicherheitsfunktionen, die von Sicherheitsappliances für virtuelle Netzwerke bereitgestellt werden, sind beispielsweise:

  • Firewall
  • Angriffserkennung/Eindringschutz
  • Verwaltung von Sicherheitsrisiken
  • Anwendungssteuerung
  • Netzwerkbasierte Erkennung von Anomalien
  • Webfilterung
  • Virenschutz
  • Botnet-Schutz

Die für ein virtuelles Azure-Netzwerk verfügbaren Sicherheitsappliances finden Sie im Azure Marketplace. Suchen Sie nach den Begriffen „Sicherheit“ und „Netzwerksicherheit“.

Bereitstellen von Umkreisnetzwerken für Sicherheitszonen

Ein Umkreisnetzwerk (auch als DMZ bezeichnet) ist ein physisches oder logisches Netzwerksegment, das als zusätzliche Sicherheitsebene zwischen Ihren Ressourcen und dem Internet dient. Spezielle Geräte für die Netzwerkzugriffssteuerung am Rande eines Umkreisnetzwerks erlauben nur den gewünschten Datenverkehr in Ihrem virtuellen Netzwerk.

Umkreisnetzwerke sind nützlich, da Sie sich bei der Verwaltung, Überwachung, Protokollierung und Berichterstellung für die Netzwerkzugriffssteuerung auf die Geräte am Rand des Azure Virtual Network konzentrieren können. In einem Umkreisnetzwerk aktivieren Sie normalerweise DDoS-Schutz (Distributed Denial of Service), Angriffserkennungs-/Eindringschutzsysteme (IDS/IPS), Firewallregeln und -richtlinien, Webfilterung, Antischadsoftware für das Netzwerk usw. Die Geräte für die Netzwerksicherheit sind zwischen dem Internet und Ihrem Azure Virtual Network angeordnet und verfügen in beiden Netzwerken über eine Schnittstelle.

Dies ist das grundlegende Design eines Umkreisnetzwerks, aber es gibt noch viele andere Designs, z. B. Back-to-Back, Tri-Homed und Multi-Homed.

Basierend auf dem zuvor beschriebenen Zero Trust-Konzept empfehlen wir für alle Bereitstellungen mit hohen Sicherheitsanforderungen die Nutzung eines Umkreisnetzwerks, um die Stufe der Netzwerksicherheit und der Zugriffssteuerung für Ihre Azure-Ressourcen zu erhöhen. Sie können Azure oder eine Drittanbieterlösung verwenden, um eine zusätzliche Sicherheitsebene zwischen Ihren Ressourcen und dem Internet bereitzustellen:

  • Native Azure-Kontrollen. Azure Firewall und Azure Web Application Firewall bieten grundlegende Sicherheitsvorteile. Vorteile sind eine vollständig zustandsbehaftete Firewall-as-a-Service, integrierte Hochverfügbarkeit, uneingeschränkte Cloudskalierbarkeit, FQDN-Filterung, Unterstützung für OWASP-Kernregelsätze sowie eine einfache Einrichtung und Konfiguration.
  • Angebote von Drittanbietern. Suchen Sie im Azure Marketplace nach Angeboten für Next-Generation-Firewalls (NGFW) und anderen Drittanbieterangeboten, die vertraute Sicherheitstools und verbesserte Netzwerksicherheit bieten. Die Konfiguration ist möglicherweise komplexer, aber mit einem Angebot eines Drittanbieters können Sie eventuell bereits vorhandene Fähigkeiten und Kenntnisse einsetzen.

Schutz vor DDoS-Angriffen

Der DDoS-Schutz trägt dazu bei, die Verfügbarkeit für über das Internet zugängliche Workloads zu erhalten, indem die Auswirkungen von Volumetric- und Protokollangriffen reduziert werden, bevor sie Ihre öffentlichen Endpunkte überwältigen.

  • Aktivieren Sie DDoS-Netzwerkschutz in virtuellen Netzwerken mit öffentlich zugänglichen Ressourcen: Wenden Sie den DDoS-Netzwerkschutz auf virtuelle Netzwerke an, die öffentliche IP-Ressourcen hosten, sodass kritische Workloads von immer aktivierter adaptiver Optimierung und Reaktion profitieren. Weitere Informationen finden Sie in der Übersicht über Azure DDoS Protection.
  • Wählen Sie den DDoS-Schutzplan aus, der Ihrer öffentlichen Exposition entspricht: Verwenden Sie den DDoS-Netzwerkschutz, wenn Sie mehrere öffentliche IP-Ressourcen in einem virtuellen Netzwerk schützen müssen, und erwägen Sie den DDoS-IP-Schutz, wenn Sie einen gezielten Schutz für eine kleinere Anzahl öffentlicher IP-Adressen benötigen. Weitere Informationen finden Sie in der Übersicht über Azure DDoS Protection.
  • Layer DDoS-Schutz mit einer Webanwendungsfirewall: Kombinieren Sie DDoS-Schutz mit Azure Web Application Firewall, um volumetrische und Protokollangriffe auf Ebenen 3 und 4 zu behandeln und gleichzeitig Layer 7-Webdatenverkehr zu prüfen. Weitere Informationen finden Sie in der Übersicht über Azure DDoS Protection.
  • Verwenden Sie die DDoS-Diagnose und -Warnungen für die Reaktion auf Vorfälle: Streamen Sie DDoS-Telemetrie an Ihre Überwachungstools, und konfigurieren Sie Warnungen, damit Ihr Sicherheitsteam Angriffe untersuchen und Gegenmaßnahmen schnell bestätigen kann. Weitere Informationen finden Sie in der Übersicht über Azure DDoS Protection.

Viele Organisationen haben sich für die Hybrid-IT-Route entschieden. Bei Hybrid-IT befinden sich einige Datenressourcen des Unternehmens in Azure, während andere weiterhin lokal gespeichert sind. In vielen Fällen werden einige Komponenten eines Diensts in Azure ausgeführt, während andere Komponenten weiterhin lokal vorhanden sind.

Bei einem Hybrid-IT-Szenario wird normalerweise eine Art von standortübergreifender Konnektivität verwendet. Standortübergreifende Konnektivität ermöglicht es dem Unternehmen, seine lokalen Netzwerke mit Azure Virtual Networks zu verbinden. Es sind zwei Lösungen für standortübergreifende Konnektivität verfügbar:

  • Site-to-Site-VPN. Dies ist eine vertrauenswürdige, zuverlässige und bewährte Technologie, aber die Verbindung erfolgt über das Internet. Die Bandbreite ist mit einem Maximum von ca. 1,25 GBit/s relativ begrenzt. Site-to-Site-VPN ist in einigen Szenarien eine wünschenswerte Option.
  • Azure ExpressRoute. Wir empfehlen, dass Sie für Ihre standortübergreifende Konnektivität ExpressRoute verwenden. Mit ExpressRoute können Sie Ihre lokalen Netzwerke über eine private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, auf die Microsoft Cloud ausdehnen. Mit ExpressRoute können Sie Verbindungen mit Microsoft Cloud Services wie Azure, Microsoft 365 und Dynamics 365 herstellen. ExpressRoute ist ein dedizierter WAN-Link zwischen Ihrem lokalen Standort und einem Microsoft Exchange-Hostinganbieter. Da dies eine Telekommunikationsverbindung ist, werden Ihre Daten nicht über das Internet übertragen und unterliegen daher auch nicht den potenziellen Risiken der Internetkommunikation.

Der Standort Ihrer ExpressRoute-Verbindung kann sich auf die Firewall-Kapazität, die Skalierbarkeit, die Zuverlässigkeit und die Sichtbarkeit des Netzwerkdatenverkehrs auswirken. Sie müssen ermitteln, wo Sie ExpressRoute in vorhandenen (lokalen) Netzwerken beenden sollten. Ihre Möglichkeiten:

  • Führen Sie die Beendigung außerhalb der Firewall aus (Umkreisnetzwerkparadigma). Gehen Sie entsprechend dieser Empfehlung vor, wenn Sie Einblick in den Datenverkehr benötigen, eine vorhandene Methode zur Isolation von Rechenzentren weiter anwenden müssen oder ausschließlich Extranet-Ressourcen in Azure integrieren.
  • Führen Sie die Beendigung innerhalb der Firewall aus (Netzwerkerweiterungsparadigma). Dies ist die Standardempfehlung. In allen anderen Fällen wird empfohlen, Azure als weiteres Rechenzentrum zu behandeln.

Optimieren der Betriebszeit und Leistung

Wenn ein Dienst ausgefallen ist, kann nicht auf Informationen zugegriffen werden. Wenn die Leistung so schlecht ist, dass die Daten nicht genutzt werden können, werden die Daten als nicht verfügbar angesehen. Aus Gründen der Sicherheit müssen Sie alles unternehmen, um sicherzustellen, dass für Ihre Dienste eine optimale Betriebszeit und Leistung gewährleistet ist.

Eine beliebte und effektive Methode zum Verbessern der Verfügbarkeit und Leistung ist der Lastenausgleich. Der Lastenausgleich ist ein Verfahren zum Verteilen von Netzwerkdatenverkehr auf Server, die Teil eines Diensts sind. Wenn Sie im Rahmen Ihres Diensts beispielsweise Front-End-Webserver verwenden, können Sie den Lastenausgleich nutzen, um Datenverkehr auf die verschiedenen Front-End-Webserver zu verteilen.

Die Verteilung von Datenverkehr erhöht die Verfügbarkeit, weil Folgendes passiert, wenn einer der Webserver nicht mehr verfügbar ist: Das Lastenausgleichsmodul beendet das Senden von Datenverkehr an den Server und leitet ihn an die Server um, die noch online sind. Außerdem trägt der Lastenausgleich zur Steigerung der Leistung bei, da der Mehraufwand für den Prozessor, das Netzwerk und den Arbeitsspeicher zum Verarbeiten von Anforderungen auf alle Server mit Lastenausgleich verteilt wird.

Wir empfehlen Ihnen, den Lastenausgleich nach Möglichkeit immer zu nutzen, wenn diese Vorgehensweise für Ihre Dienste geeignet ist. Es folgen Szenarien sowohl auf der Ebene des Azure Virtual Network als auch auf der globalen Ebene, zusammen mit den jeweiligen Lastausgleichsoptionen.

Szenario: Sie haben eine Anwendung:

  • Bei denen Anforderungen einer Benutzer-/Clientsitzung den gleichen virtuellen Back-End-Computer erreichen müssen. Beispiele hierfür wären Einkaufswagen-Apps und Web-E-Mail-Server.
  • Dabei ist nur eine sichere Verbindung zulässig. Eine unverschlüsselte Kommunikation mit den Servern ist keine zulässige Option.
  • Für die mehrere HTTP-Anforderungen über die gleiche lange bestehende TCP-Verbindung an verschiedene Back-End-Server weitergeleitet werden bzw. für die dort ein Lastenausgleich erfolgen muss.

Option für den Lastenausgleich: Verwenden Sie Azure Application Gateway, einen Lastenausgleich für HTTP-Web-Datenverkehr. Application Gateway unterstützt die End-to-End-TLS-Verschlüsselung und TLS-Terminierung am Gateway. Webserver können dann vom Verschlüsselungs- und Entschlüsselungsaufwand entlastet werden, und datenverkehr kann unverschlüsselt an die Back-End-Server fließen, obwohl End-to-End-TLS der sicherere Standardwert bleibt, wenn die Back-End-Vertraulichkeit wichtig ist.

Szenario: Sie benötigen für eingehende Verbindungen aus dem Internet einen Lastenausgleich zwischen Ihren Servern in einem Azure Virtual Network. Szenarien sind, wenn Sie:

  • Zustandslose Anwendungen haben, die eingehende Anforderungen aus dem Internet akzeptieren.
  • Keine persistenten Sitzungen oder TLS-Auslagerung benötigen. Persistente Sitzungen sind eine Methode, die für den Anwendungslastenausgleich verwendet wird, um die Serveraffinität zu erreichen.

Option für den Lastenausgleich: Verwenden Sie das Azure-Portal, um einen externen Lastenausgleich zu erstellen, der eingehende Anfragen auf mehrere VMs verteilt, um eine höhere Verfügbarkeit zu gewährleisten.

Szenario: Sie benötigen einen Lastenausgleich für Verbindungen von VMs, die sich nicht im Internet befinden. In den meisten Fällen werden die Verbindungen, die für den Lastenausgleich akzeptiert werden, von Geräten in einem Azure Virtual Network initiiert, wie z.B. SQL Server-Instanzen oder interne Webserver.
Option für den Lastenausgleich: Verwenden Sie das Azure-Portal, um einen internen Lastenausgleich zu erstellen, der eingehende Anfragen auf mehrere VMs verteilt, um eine höhere Verfügbarkeit zu gewährleisten.

Szenario: Sie benötigen globalen Lastenausgleich, da Sie:

  • Eine Cloudlösung haben, die weit über mehrere Regionen verteilt ist und ein Höchstmaß an Betriebszeit (Verfügbarkeit) erfordert.
  • Ein Höchstmaß an Betriebszeit benötigen, um sicherzustellen, dass Ihr Dienst verfügbar ist, auch wenn ein ganzes Rechenzentrum nicht verfügbar ist.

Option für den Lastenausgleich: Verwenden Sie den Azure Traffic Manager. Traffic Manager ermöglicht Ihnen den Lastenausgleich für Verbindungen mit Ihren Diensten basierend auf dem Standort des Benutzers.

Wenn ein Benutzer Ihren Dienst beispielsweise von einem EU-Standort aus anfordert, wird die Verbindung an Ihre Dienste umgeleitet, die in einem EU-Rechenzentrum angeordnet sind. Mit diesem Teil des globalen Lastenausgleichs von Traffic Manager können Sie die Leistung verbessern, da die Herstellung der Verbindung mit dem nächsten Rechenzentrum schneller als die Verbindung mit weit entfernten Rechenzentren möglich ist.

Deaktivieren des RDP/SSH-Zugriffs auf virtuelle Computer

Es ist möglich, mit dem Remotedesktopprotokoll (RDP) und dem Secure Shell-Protokoll (SSH) eine Verbindung mit virtuellen Azure-Computern herzustellen. Diese Protokolle ermöglichen die Remoteverwaltung von VMs und sind Standard im Rechenzentrum.

Das potenzielle Sicherheitsproblem bei der Verwendung dieser Protokolle über das Internet besteht darin, dass Angreifer Brute-Force-Verfahren einsetzen können, um Zugriff auf virtuelle Azure-Computer zu erlangen. Nachdem sich die Angreifer Zugang verschafft haben, können sie Ihre VM als Ausgangspunkt für die Kompromittierung anderer Computer im virtuellen Netzwerk nutzen oder sogar Netzwerkgeräte außerhalb von Azure angreifen.

Wir empfehlen Ihnen, den direkten RDP- und SSH-Zugriff auf Ihre virtuellen Azure-Computer über das Internet zu deaktivieren. Nachdem der direkte RDP- und SSH-Zugriff über das Internet deaktiviert wurde, haben Sie andere Möglichkeiten, um für die Durchführung der Remoteverwaltung auf diese VMs zuzugreifen.

Szenario: Ein Benutzer kann eine Verbindung mit einem Azure Virtual Network über das Internet herstellen.
Option: Point-to-Site-VPN ist ein anderer Ausdruck für eine VPN-Client/Server-Verbindung mit Remotezugriff. Nachdem die Point-to-Site-Verbindung hergestellt wurde, kann der Benutzer per RDP oder SSH eine Verbindung mit allen VMs im Azure Virtual Network herstellen, mit denen der Benutzer per Point-to-Site-VPN-Verbindung verbunden ist. Hierbei wird davon ausgegangen, dass der Benutzer dazu berechtigt ist, auf diese VMs zuzugreifen.

Eine Point-to-Site-VPN-Verbindung ist sicherer als direkte RDP- oder SSH-Verbindungen, da sich der Benutzer zweimal authentifizieren muss, bevor er die Verbindung mit einer VM herstellen kann. Zunächst muss sich der Benutzer authentifizieren (und berechtigt sein), um die Point-to-Site-VPN-Verbindung herzustellen. Danach muss sich der Benutzer authentifizieren (und berechtigt sein), um die RDP- oder SSH-Sitzung zu erstellen.

Szenario: Ermöglichen Sie es Benutzern in Ihrem lokalen Netzwerk, sich mit VMs in Ihrem Azure Virtual Network zu verbinden.
Option: Über eine Site-to-Site-VPN-Verbindung wird ein gesamtes Netzwerk über das Internet mit einem anderen Netzwerk verbunden. Sie können eine Site-to-Site-VPN-Verbindung verwenden, um Ihr lokales Netzwerk mit einem Azure Virtual Network zu verbinden. Benutzer in Ihrem lokalen Netzwerk verbinden sich über das RDP- oder SSH-Protokoll über die Site-to-Site-VPN-Verbindung. Sie müssen keinen direkten RDP- oder SSH-Zugriff über das Internet ermöglichen.

Szenario: Verwenden Sie eine dedizierte WAN-Verbindung, um Funktionalität bereitzustellen, die der Site-to-Site-VPN-Verbindung ähnelt.
Option: Verwenden Sie ExpressRoute. Es bietet ähnliche Funktionen wie eine Site-to-Site-VPN-Verbindung. Im Folgenden werden die Hauptunterschiede erläutert:

  • Die dedizierte WAN-Verbindung verläuft nicht über das Internet.
  • Dedizierte WAN-Verbindungen sind in der Regel stabiler und leistungsfähiger.

Beschränken und Schützen Ihrer kritischen Ressourcen von Azure-Diensten auf Ihre virtuellen Netzwerke

Verwenden Sie Azure Private Link für den Zugriff auf Azure-PaaS-Dienste (beispielsweise Azure Storage und SQL-Datenbank) über einen privaten Endpunkt in Ihrem virtuellen Netzwerk. Private Endpunkte ermöglichen es Ihnen, Ihre kritischen Azure-Dienstressourcen auf Ihre virtuellen Netzwerke zu beschränken und so zu schützen. Der Datenverkehr aus Ihrem virtuellen Netzwerk an den Azure-Dienst verbleibt immer im Backbone-Netzwerk von Microsoft Azure. Ein Verfügbarmachen Ihres virtuellen Netzwerks im öffentlichen Internet ist nicht mehr erforderlich, um Azure-PaaS-Dienste zu nutzen.

Azure Private Link bietet folgende Vorteile:

  • Improve security for your Azure service resources: Mit Azure Private Link können Azure Dienstressourcen mithilfe privater Endpunkte in Ihrem virtuellen Netzwerk gesichert werden. Das Sichern von Dienstressourcen zu einem privaten Endpunkt in einem virtuellen Netzwerk verbessert die Sicherheit, indem der öffentliche Internetzugriff auf Ressourcen vollständig entfernt und Datenverkehr nur von privaten Endpunkten in Ihrem virtuellen Netzwerk zugelassen wird.
  • Privater Zugriff auf Azure-Dienstressourcen auf der Azure-Plattform: Verbinden Sie Ihr virtuelles Netzwerk über private Endpunkte mit Diensten in Azure. Eine öffentliche IP-Adresse ist nicht erforderlich. Die Private Link-Plattform behandelt die Konnektivität zwischen Verbrauchern und Diensten über das Azure Backbone-Netzwerk.
  • Auf Dienste aus lokalen und gepeerten Netzwerken zugreifen: Greifen Sie über privates ExpressRoute-Peering, VPN-Tunnel und gepeerte virtuelle Netzwerke mithilfe privater Endpunkte aus lokalen Umgebungen auf in Azure ausgeführte Dienste zu. Es ist nicht erforderlich, ExpressRoute-Microsoft-Peering einzurichten oder über das Internet auf den Dienst zuzugreifen. Private Link ist eine sichere Möglichkeit, um Workloads zu Azure zu migrieren.
  • Schutz vor Datenlecks: Ein privater Endpunkt wird einer Instanz einer PaaS-Ressource anstelle des gesamten Diensts zugeordnet. Verbraucher können nur eine Verbindung mit der jeweiligen Ressource herstellen, und der Zugriff auf jede andere Ressource im Dienst wird blockiert. Dieser Mechanismus ermöglicht den Schutz vor Risiken aufgrund von Datenlecks.
  • Erweitern des privaten Zugriffs über Regionen hinweg: Verbinden Sie sich privat mit Diensten, die in anderen Regionen ausgeführt werden. Das virtuelle Netzwerk des Verbrauchers kann sich in Region A befinden und eine Verbindung mit Diensten in Region B herstellen.
  • Vereinfachen Sie die Bereitstellung und den Betrieb privater Endpunkte: Sie benötigen keine reservierten öffentlichen IP-Adressen in Ihren virtuellen Netzwerken mehr, um Azure-Ressourcen über eine IP-Firewall zu sichern. Es sind keine NAT- oder Gatewaygeräte erforderlich, um private Endpunkte einzurichten. Private Endpunkte werden über einen einfachen Workflow konfiguriert, und auf der Dienstseite können Sie auch Verbindungsanforderungen in Ihrer Azure Dienstressource problemlos verwalten. Azure Private Link funktioniert auch für Consumer und Dienste, die zu verschiedenen Microsoft Entra-Mandanten gehören.
  • Deaktivieren Sie den öffentlichen Netzwerkzugriff nach dem Aktivieren privater Endpunkte: Wenn ein Dienst ihn unterstützt, deaktivieren Sie den öffentlichen Netzwerkzugriff, nachdem Sie die Konnektivität privater Endpunkte überprüft haben, sodass die Ressource Datenverkehr nur über genehmigte private Pfade akzeptiert. Weitere Informationen finden Sie unter Azure Private Link.
  • Design private DNS-Zonen pro Dienst: Verwenden Sie die empfohlene private DNS-Zone für jeden Azure Dienst und verknüpfen Sie diese Zone mit den virtuellen Netzwerken, in denen Ihre privaten Endpunkte gehostet werden, sodass die Namensauflösung konsistent bleibt. Weitere Informationen finden Sie unter Private DNS-Zonenwerte von Azure Private Endpoint.
  • Wenden Sie NSGs auf private Endpunktsubnetze an, sofern unterstützt: Aktivieren Sie Netzwerkrichtlinien für private Endpunkte, und verwenden Sie NSGs im Hostingsubnetz, um Anforderungen an ost-west- und eingehende Filteranforderungen für unterstützte Szenarien zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte.
  • Verwenden Sie den Netzwerksicherheitsperimeter für die verwaltete Netzwerkisolation: Auswerten des Netzwerksicherheitsperimeters, wenn Sie eine neuere verwaltete Isolationsgrenze für PaaS-Ressourcen benötigen, die die öffentliche Exposition reduzieren, ohne sich nur auf IP-basierte Einschränkungen zu verlassen. Weitere Informationen finden Sie unter Netzwerksicherheitsperimeterkonzepte.

Weitere Informationen zu privaten Endpunkten und den Azure Diensten und Regionen, für die private Endpunkte verfügbar sind, finden Sie unter Azure Private Link.

Nächste Schritte

  • Last updated on