Entwurfsbereich: Sicherheit
Dieser Entwurfsbereich legt das Fundament für die Sicherheit in Ihren Azure-, Hybrid- und Multi-Cloud-Umgebungen. Sie können dieses Fundament später durch Sicherheitsmaßnahmen erweitern, die in der Sicherheitsmethodik des Cloud Adoption Frameworks beschrieben sind.
Hinweise zum Entwurfsbereich
Rollen oder Funktionen: Dieser Entwurfsbereich wird von den für Cloudsicherheit zuständigen Personen verwaltet, d. h. von den Sicherheitsarchitekt*innen in diesem Team. Die für den Betrieb der Cloudplattform zuständigen Personen und das Cloudkompetenzzentrum müssen Netzwerk- und Identitätsentscheidungen prüfen. Diese kollektiven Rollen müssen möglicherweise die technischen Anforderungen aus dieser Übung definieren und implementieren. Fortgeschrittenere Sicherheitsmaßnahmen müssen gegebenenfalls auch durch Cloudgovernance unterstützt werden.
Fokus: Ziel dieser Übung ist es, die Sicherheitsanforderungen zu verstehen und sie konsistent für alle Workloads in Ihrer Cloudplattform zu implementieren. Der Hauptfokus dieser Übung liegt auf Sicherheitstools und der Zugriffssteuerung. Dieser Teil umfasst Zero Trust und erweiterte Netzwerksicherheit.
Nicht enthalten: Diese Übung konzentriert sich auf die Grundlagen von modernen Security Operations Centern in der Cloud. Aus Gründen der Knappheit wird in dieser Übung nicht auf einige der Disziplinen der Secure-Methodologie des Cloud Adoption Framework eingegangen. Sicherheitsprozesse, Ressourcenschutz und Innovationssicherheit bauen auf Ihrer Azure-Zielzonenbereitstellung auf. In dieser Besprechung des Entwurfsbereich werden sie jedoch nicht berücksichtigt.
Übersicht über den Entwurfsbereich
Sicherheit ist ein zentrales Anliegen aller Kund*innen in jeder Umgebung. Beim Entwerfen und Implementieren einer Azure-Zielzone sollte die Sicherheit bei jedem Schritt berücksichtigt werden.
Im Sicherheitsentwurfsbereich finden Sie Hinweise und Empfehlungen für Entscheidungen zu Zielzonen. Die Sicherheitsmethodik des Cloud Adoption Frameworks bietet auch weitere ausführliche Anleitungen für ganzheitliche Sicherheitsprozesse und -tools.
Neue (Greenfield) Cloudumgebung: Informationen zum Starten Ihrer Cloudjourney mit einigen wenigen Abonnements finden Sie unter Erstellen Ihrer anfänglichen Azure-Abonnements. Ziehen Sie außerdem die Verwendung von Bicep-Bereitstellungsvorlagen in Betracht, um Ihre Azure-Zielzonen zu gestalten. Weitere Informationen finden Sie unter Azure Landing Zones Bicep – Deployment Flow.
Vorhandene (Brownfield) Cloudumgebung: Ziehen Sie die Verwendung der folgenden Microsoft Entra Identitäts- und Zugriffsdienste in Betracht, wenn Sie die Prinzipien aus dem Sicherheitsdesignbereich auf vorhandene Azure-Umgebungen anwenden möchten:
- Nutzen Sie die Top 10 Best Practices für die Azure-Sicherheit von Microsoft. Dieser Leitfaden enthält eine Zusammenfassung von Anleitungen von Microsoft-Cloudlösungsarchitekten (CSAs) sowie Microsoft Partners, die sich im Einsatz bewährt haben.
- Stellen Sie die Microsoft Entra Connect-Cloudsynchronisierung bereit, um Ihren lokalen AD DS-Benutzer*innen (Active Directory Domain Services) das sichere einmalige Anmelden (SSO) bei Ihren Microsoft Entra ID-gestützten Anwendungen zu ermöglichen. Ein zusätzlicher Vorteil der Konfiguration einer Hybrididentität besteht darin, dass Sie die Multi-Faktor-Authentifizierung (MFA) von Microsoft Entra und den Microsoft Entra-Kennwortschutz erzwingen können, um diese Identitäten noch stärker zu schützen
- Ziehen Sie den bedingten Zugriff Microsoft Entra in Betracht, um eine sichere Authentifizierung für Ihre Cloud-Apps und Azure-Ressourcen zu ermöglichen.
- Implementieren Sie Microsoft Entra Privileged Identity Management, um Zugriff mit geringsten Rechten und umfassende Berichterstellung in Ihrer gesamten Azure-Umgebung sicherzustellen. Teams sollte mit wiederkehrenden Zugriffsüberprüfungen beginnen, um sicherzustellen, dass die richtigen Personen und Dienstprinzipale über aktuelle und korrekte Autorisierungsebenen verfügen.
- Verwenden Sie die Empfehlungen, Warnungen und Korrekturfunktionen von Microsoft Defender for Cloud. Ihr Sicherheitsteam kann auch Microsoft Defender for Cloud in Microsoft Sentinel integrieren, wenn sie eine robustere, zentral verwaltete Hybrid- und Multicloud-Lösung für Security Information Event Management (SIEM)/Security Orchestration and Response (SOAR) benötigen.
Das Repository Azure Landing Zones Bicep – Deployment Flow enthält eine Reihe von Bicep-Bereitstellungsvorlagen, die Ihre Greenfield- und Brownfield-Bereitstellungen für Azure Landing Zones beschleunigen können. In diese Vorlagen sind bereits bewährte Sicherheitsleitlinien von Microsoft integriert.
Weitere Informationen zur Arbeit in Brownfield-Cloudumgebungen finden Sie in den Überlegungen zur Brownfield-Umgebung.
Microsoft Cloud Security Benchmark
Der Microsoft-Cloudsicherheitsbenchmark enthält hochgradig wirkungsvolle Sicherheitsempfehlungen, mit denen Sie die meisten Ihrer in Azure verwendeten Dienste schützen können. Sie können diese Empfehlungen als allgemein oder organisatorisch betrachten, da sie auf die meisten Azure-Dienste anwendbar sind. Die Empfehlungen des Microsoft-Cloudsicherheitsbenchmarks werden dann für jeden Azure-Dienst angepasst. Diese angepasste Anleitung ist in den Artikeln zu Dienstempfehlungen enthalten.
In der Dokumentation zu den Empfehlungen des Microsoft-Cloudsicherheitsbenchmarks werden Sicherheitskontrollen und Dienstempfehlungen angegeben.
- Sicherheitskontrollen: Die Empfehlungen des Microsoft-Cloudsicherheitsbenchmarks werden nach Sicherheitskontrollelementen kategorisiert. Sicherheitskontrollen stellen allgemeine herstellerunabhängige Sicherheitsanforderungen dar, z. B. Netzwerksicherheit und Datenschutz. Jedes Sicherheitskontrollelement enthält eine Reihe von Sicherheitsempfehlungen und Anweisungen, mit denen Sie diese Empfehlungen implementieren können.
- Sicherheitsempfehlungen: Wenn verfügbar, enthalten die Empfehlungen des Vergleichstests für Azure-Dienste auch Empfehlungen des Microsoft-Cloudsicherheitsbenchmarks, die speziell auf diesen Dienst zugeschnitten sind.
Azure Attestation
Azure Attestation ist ein Tool, mit dem Sie die Sicherheit und Integrität Ihrer Plattform und der darauf enthaltenen Binärdateien sicherstellen können. Das ist besonders hilfreich für Unternehmen, die hochgradig skalierbare Computeressourcen und eine kompromisslose Vertrauensstellung über die Remotenachweisfunktion brauchen.
Hinweise zum Sicherheitsentwurf
Eine Organisation muss Einblick in die Vorgänge in ihrer Cloudtechnik haben. Die Sicherheitsüberwachung und Überwachungsprotokollierung der Dienste auf der Azure-Plattform ist eine wesentliche Komponente eines skalierbaren Frameworks.
Hinweise zum Entwurf von Sicherheitsprozessen
| `Scope` | Kontext |
|---|---|
| Sicherheitswarnungen | – Welche Teams benötigen Benachrichtigungen für Sicherheitswarnungen? – Gibt es Gruppen von Diensten, für die Warnungen an verschiedene Teams weitergeleitet werden müssen? – Geschäftsanforderungen für Echtzeitüberwachung und -warnungen. – Integration von Sicherheitsinformationen Security-Information-and-Event-Management-Lösungen (SIEM) in Microsoft Defender für Cloud und Microsoft Sentinel |
| Sicherheitsprotokolle | – Datenaufbewahrungszeiträume für Auditdaten. Microsoft Entra ID P1- oder P2-Berichte werden 30 Tage lang aufbewahrt. – Langfristige Archivierung von Protokollen wie Azure-Aktivitätsprotokollen, VM-Protokollen und Platform as a Service-Protokollen (PaaS) |
| Sicherheitskontrollen | – Grundlegende Sicherheitskonfiguration über eine Azure-Gast-VM-Richtlinie – Überlegen Sie, wie sich Ihre Sicherheitskontrollen mit den Governanceleitplanken in Einklang bringen lassen. |
| Verwaltung von Sicherheitsrisiken | – Notfallpatches für kritische Sicherheitsrisiken – Patches für VMs, die über längere Zeiträume offline sind – Beurteilung des Sicherheitsrisikos von VMs |
| Gemeinsame Verantwortung | – Wo erfolgen die Übergaben bei Teamzuständigkeiten? Diese Zuständigkeiten müssen bei der Überwachung von oder Reaktion auf Sicherheitsereignisse berücksichtigt werden. – Beachten Sie den Leitfaden in der Secure-Methodik zu Sicherheitsprozessen. |
| Verschlüsselung und Schlüssel | – Wer benötigt Zugriff auf Schlüssel in der Umgebung? – Wer wird für die Verwaltung der Schlüssel verantwortlich sein? – Lesen Sie den Artikel Verschlüsselung und Schlüsselverwaltung in Azure. |
| Nachweis | – Verwenden Sie den vertrauenswürdigen Start für Ihre VMs und brauchen Sie einen Nachweis über die Integrität der gesamten Startkette Ihrer VM (UEFI, Betriebssystem, System und Treiber)? – Möchten Sie die Verschlüsselung vertraulicher Datenträger für Ihre vertraulichen VMs nutzen? – Benötigen Ihre Workloads einen Nachweis, dass sie in einer vertrauenswürdigen Umgebung ausgeführt werden? |
Entwurfsempfehlungen für Sicherheitsprozesse
Nutzen Sie Microsoft Entra ID-Berichtsfunktionen zum Generieren von Überwachungsberichten zur Zugriffssteuerung.
Exportieren Sie Azure-Aktivitätsprotokolle für die langfristige Datenaufbewahrung nach Azure Monitor Logs. Exportieren Sie sie in Azure Storage, falls eine langfristige Aufbewahrung von über zwei Jahren erforderlich ist.
Aktivieren Sie den Standard-Tarif von Microsoft Defender für Cloud für alle Abonnements, und stellen Sie die Compliance mit Azure Policy sicher.
Überwachen Sie Abweichungen bei Patches des Basisbetriebssystems mit Azure Monitor Logs und Microsoft Defender für Cloud.
Nutzen Sie Azure-Richtlinien zur automatischen Bereitstellung von Softwarekonfigurationen mithilfe von VM-Erweiterungen und zur Erzwingung einer konformen VM-Basiskonfiguration.
Überwachen Sie Abweichungen bei der VM-Sicherheitskonfiguration mittels Azure Policy.
Verbinden Sie Standardressourcenkonfigurationen mit einem zentralen Log Analytics-Arbeitsbereich von Azure Monitor.
Verwenden Sie eine auf Azure Event Grid basierende Lösung für protokollorientierte Echtzeitwarnungen.
Verwenden Sie den Azure Attestation für den Nachweis von:
- Integrität der gesamten Startkette Ihrer VM. Weitere Informationen finden Sie unter Übersicht über die Überwachung der Startintegrität.
- Sichere Freigabe von Schlüssel für vertrauliche Datenträger für eine vertrauliche VM. Weitere Informationen finden Sie unter Vertrauliche Betriebssystem-Datenträgerverschlüsselung.
- Verschiedene Arten von Trusted Execution Environments für Workloads. Weitere Informationen finden Sie unter Anwendungsfälle.
Hinweise zum Entwurf der Zugriffssteuerung
Moderne Sicherheitsgrenzen sind komplexer als Grenzen in herkömmlichen Rechenzentren. Ihre Ressourcen befinden sich nicht mehr innerhalb der vier Wände eines Rechenzentrums. Benutzer*innen aus dem geschützten Netzwerk herauszuhalten, reicht nicht mehr aus, um den Zugriff zu steuern. In der Cloud besteht Ihr Perimeter aus zwei Teilen: Netzwerksicherheitskontrollen und Zero Trust-Zugriffssteuerungen.
Erweiterte Netzwerksicherheit
| `Scope` | Kontext |
|---|---|
| Planen der eingehenden und ausgehenden Internetkonnektivität | Dieser Artikel beschreibt empfohlene Konnektivitätsmodelle für die eingehende und ausgehende Konnektivität zum und aus dem öffentlichen Internet. |
| Planen der Zielzonen-Netzwerksegmentierung | Dieser Artikel enthält wichtige Empfehlungen zur Bereitstellung einer äußerst sicheren internen Netzwerksegmentierung innerhalb einer Zielzone. Auf diesen Empfehlungen baut die Zero-Trust-Implementierung im Netzwerk auf.. |
| Definieren von Netzwerkverschlüsselungsanforderungen | Hier finden Sie wichtige Empfehlungen zum Einrichten der Netzwerkverschlüsselung zwischen der lokalen Umgebung und Azure sowie regionsübergreifend in Azure. |
| Planen der Datenverkehrsüberprüfung | Hier finden Sie wichtige Hinweise und empfohlene Ansätze für das Spiegeln oder Anzapfen von Datenverkehr in Azure Virtual Network. |
Zero-Trust
Für den Zero Trust-Zugriff mit Identitäten sollten Sie Folgendes berücksichtigen:
- Welche Teams oder Einzelpersonen benötigen Zugriff auf Dienste innerhalb der Zielzone? Welche Rollen werden von ihnen ausgeführt?
- Wer soll die Zugriffsanforderungen autorisieren?
- Wer soll Benachrichtigungen erhalten, wenn privilegierte Rollen aktiviert werden?
- Wer soll Zugriff auf den Auditverlauf haben?
Weitere Informationen finden Sie unter Microsoft Entra Privileged Identity Management.
Die Implementierung von Zero Trust kann über die Identitäts- und Zugriffsverwaltung hinausgehen. Sie sollten berücksichtigen, ob Ihre Organisation Zero Trust-Praktiken über mehrere Säulen hinweg implementieren muss, z. B. Infrastruktur, Daten und Netzwerke. Weitere Informationen finden Sie unter Integrieren von Zero Trust-Praktiken in Ihrer Zielzone
Entwurfsempfehlungen für die Zugriffssteuerung
Führen Sie im Kontext ihrer zugrunde liegenden Anforderungen eine gemeinsame Untersuchung der erforderlichen Dienste durch. Wenn Sie Ihre eigenen Schlüssel einsetzen möchte, wird dies möglicherweise nicht von allen in Frage kommenden Diensten unterstützt. Implementieren Sie relevante Risikominderungen, damit Inkonsistenzen nicht die gewünschten Ergebnisse beeinträchtigen. Wählen Sie geeignete Regionspaare und Regionen für die Notfallwiederherstellung, die Latenz minimieren.
Entwickeln Sie einen Plan für eine Sicherheitspositivliste, um Dienste wie die Sicherheitskonfiguration, die Überwachung und Warnungen zu bewerten. Erstellen Sie dann einen Plan, um diese mit vorhandenen Systemen zu integrieren.
Erarbeiten Sie den Incident-Response-Plan für Azure-Dienste, bevor Sie diese in die Produktion verschieben.
Stimmen Sie Ihre Sicherheitsanforderungen mit Roadmaps für die Azure-Plattform ab, damit immer die neu veröffentlichten Sicherheitskontrollen verwendet werden.
Implementieren Sie ggf. einen Zero-Trust-Ansatz für den Zugriff auf die Azure-Plattform.
Sicherheit im Azure-Zielzonenbeschleuniger
Sicherheit ist das Herzstück des Azure-Zielzonenbeschleunigers. Im Rahmen der Implementierung werden viele Tools und Kontrollen bereitgestellt, damit Organisationen schnell eine Sicherheitsbaseline erreichen.
Folgendes ist z. B. enthalten:
Tools:
- Microsoft Defender für Cloud, Standard- oder Free-Tarif
- Microsoft Sentinel
- Azure DDoS-Netzwerkschutz (optional)
- Azure Firewall
- Web Application Firewall (WAF)
- Privileged Identity Management (PIM)
Richtlinien für Onlinezielzonen sowie mit Unternehmen verbundene Zielzonen:
- Erzwingen des sicheren Zugriffs (z. B. HTTPS) auf Speicherkonten
- Erzwingen der Überwachung für Azure SQL-Datenbank
- Erzwingen der Verschlüsselung für Azure SQL-Datenbank
- Verhindern der IP-Weiterleitung
- Verhindern von eingehenden RDP-Verbindungen aus dem Internet
- Sicherstellen, dass Subnetze einer NSG zugeordnet sind
Nächste Schritte
Informieren Sie sich darüber, wie Sie den privilegierten Zugriff für Hybrid- und Cloudbereitstellungen in Microsoft Entra ID schützen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für