Bewährte Methoden für Azure Operational Security
Dieser Artikel enthält eine Reihe von bewährten Methoden für den Schutz Ihrer Daten, Anwendungen und anderen Ressourcen in Azure.
Die bewährten Methoden basieren auf einer gemeinsamen Linie und eignen sich für aktuelle Funktionen und Features der Azure-Plattform. Meinungen und Technologien ändern sich im Laufe der Zeit. Dieser Artikel wird daher regelmäßig aktualisiert, um diese Änderungen widerzuspiegeln.
Definieren und Bereitstellen von Methoden für hohe Betriebssicherheit
Azure Operational Security bezieht sich auf die Dienste, Steuerelemente und Features, die Benutzern zum Schützen ihrer Daten, Anwendungen und anderen Ressourcen in Azure zur Verfügung stehen. Azure Operational Security basiert auf einem Framework, das Erkenntnisse verwendet, die aus einzigartigen Microsoft-Funktionen stammen, u.a. aus dem Microsoft Security Development Lifecycle, dem Microsoft Security Response Center-Programm und den umfassenden Informationen zur Bedrohungslage hinsichtlich der Sicherheit im Internet.
Erzwingen der Multi-Faktor-Überprüfung für Benutzer
Sie sollten die zweistufige Überprüfung für alle Benutzer fordern. Dies schließt Administratoren und andere Personen in Ihrer Organisation ein, bei denen die Gefährdung ihrer Konten einen besonders schädlichen Einfluss haben kann (z.B. Finanzchefs).
Es gibt mehrere Optionen, um eine zweistufige Überprüfung zu erzwingen. Die beste Option für Sie hängt von Ihren Zielen ab, der Microsoft Entra-Edition, die Sie ausführen, und Ihrem Lizenzierungsprogramm. Bestimmen Sie mithilfe des Artikels Vorgehensweise zum Erzwingen einer zweistufigen Überprüfung für einen Benutzer die beste Option für Sie. Weitere Informationen zu Lizenzen und Preisen finden Sie auf den Preisseiten für Microsoft Entra ID und Microsoft Entra-Multi-Faktor-Authentifizierung.
Im Folgenden werden Optionen und Vorteile der zweistufigen Überprüfung beschrieben:
Option 1: Aktivieren von MFA für alle Benutzer und Anmeldemethoden mit Microsoft Entra-Sicherheitsstandards Nutzen: Mit dieser Option können Sie MFA für alle Benutzer in Ihrer Umgebung erzwingen, mit einer strengen Richtlinie für Folgendes:
- Abfragen von Administratorkonten und administrativen Anmeldemechanismen
- Erzwingen von MFA über Microsoft Authenticator für alle Benutzer
- Einschränken älterer Authentifizierungsprotokolle.
Diese Methode ist für alle Lizenzierungsstufen verfügbar, kann jedoch nicht mit vorhandenen Richtlinien für den bedingten Zugriff kombiniert werden. Weitere Informationen finden Sie unter Microsoft Entra-Sicherheitsstandards
Option 2: Aktivieren der Multi-Faktor-Authentifizierung durch Ändern des Benutzerstatus.
Vorteil: Dies ist die herkömmliche Methode, die zweistufige Überprüfung zu anzufordern. Es funktioniert sowohl mit der Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud als auch mit dem Azure MFA-Server. Bei dieser Methode müssen sich Benutzer jedes Mal, wenn sie sich anmelden, die zweistufige Überprüfung durchführen. Die Richtlinien für bedingten Zugriff werden außer Kraft gesetzt.
Um festzulegen, wo die Multi-Faktor-Authentifizierung aktiviert werden muss, lesen Sie Welche Version der Microsoft Entra-Multi-Faktor-Authentifizierung ist für meine Organisation geeignet?.
Option 3: Aktivieren der Multi--Faktor-Authentifizierung mit einer Richtlinie für bedingten Zugriff. Vorteil: Mit dieser Option können Sie die zweistufige Überprüfung unter bestimmten Bedingungen mithilfe des bedingten Zugriffs anfordern. Bestimmte Bedingungen können sein: Benutzeranmeldung von verschiedenen Standorten, nicht vertrauenswürdige Geräte oder Anwendungen, die Sie als risikoreich betrachten. Durch Definieren von bestimmten Bedingungen, in denen Sie die zweistufige Überprüfung erfordern, können Sie die konstante Aufforderung Ihrer Benutzer vermeiden, die eine unangenehme Benutzererfahrung sein kann.
Dies ist die flexibelste Möglichkeit, die zweistufige Überprüfung für Ihre Benutzer zu aktivieren. Das Aktivieren einer Richtlinie für bedingten Zugriff funktioniert nur für die Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud und ist ein Premium-Feature von Microsoft Entra ID. Weitere Informationen zu dieser Methode finden Sie unter Bereitstellen von cloudbasierter Microsoft Entra-Multi-Faktor-Authentifizierung.
Option 4: Aktivieren Sie die Multi-Faktor-Authentifizierung mit Richtlinien für den bedingten Zugriff durch Auswertung von risikobasierten Richtlinien für den bedingten Zugriff.
Vorteil: Diese Option ermöglicht Ihnen Folgendes:
- Ermitteln Sie potenzielle Sicherheitsrisiken für Identitäten Ihrer Organisation.
- Konfigurieren Sie automatische Reaktionen auf erkannte verdächtige Aktivitäten im Zusammenhang mit den Identitäten Ihres Unternehmens.
- Untersuchen verdächtiger Vorfälle und Ergreifen entsprechender Maßnahmen zu deren Behebung.
Diese Methode verwendet die Risikobewertung von Microsoft Entra ID-Schutz, um die Notwendigkeit der zweistufigen Überprüfung auf Basis des Benutzer- und Anmelderisikos für alle Cloudanwendungen zu bestimmen. Diese Methode erfordert die Microsoft Entra ID P2-Lizenzierung. Weitere Informationen zu dieser Methode finden Sie unter Microsoft Entra ID-Schutz.
Hinweis
Die Option 2, Aktivierung der Multi-Faktor-Authentifizierung durch Ändern des Benutzerstatus, setzt die Richtlinien für den bedingten Zugriff außer Kraft. Da die Optionen 3 und 4 Richtlinien für bedingten Zugriff verwenden, können Sie Option 2 nicht zusammen mit ihnen verwenden.
Unternehmen, die keinen zusätzlichen Identitätsschutz, wie z. B. eine zweistufige Verifizierung, einführen, sind anfälliger für den Diebstahl von Anmeldeinformationen. Ein Angriff mit gestohlenen Anmeldeinformationen kann zum Kompromittieren der Daten führen.
Verwalten und Überwachen von Benutzerkennwörtern
Die folgende Tabelle enthält einige bewährte Methoden in Bezug auf die Verwaltung von Benutzerkennwörtern:
Bewährte Methode: Stellen Sie sicher, dass Sie über den richtigen Grad an Kennwortschutz in der Cloud verfügen.
Details: Befolgen Sie die Anleitungen im Microsoft-Kennwortleitfaden, der sich auf Benutzer der Microsoft-Identitätsplattform (Microsoft Entra ID, Active Directory und Microsoft-Konto) bezieht.
Bewährte Methode: Führen Sie eine Überwachung auf verdächtige Aktionen im Zusammenhang mit Ihren Benutzerkonten durch.
Detail: Überwachen Sie mithilfe von Microsoft Entra-Sicherheitsberichten auf Risikobenutzer und Risikoanmeldungen.
Bewährte Methode: Lassen Sie Kennwörter mit hohem Risiko automatisch erkennen und beheben.
Detail: Microsoft Entra ID Protection ist ein Feature der Microsoft Entra ID P2 Edition, mit der Sie folgende Aktionen ausführen können:
- Ermitteln potenzieller Sicherheitsrisiken für Identitäten Ihrer Organisation
- Konfigurieren automatischer Reaktionen auf erkannte verdächtige Aktionen im Zusammenhang mit den Identitäten Ihrer Organisation
- Untersuchen verdächtiger Incidents und Ergreifen entsprechender Maßnahmen zu deren Behebung
Empfangen von Benachrichtigungen über Incidents von Microsoft
Achten Sie darauf, dass Ihr Security Operations-Team Benachrichtigungen über Azure-Incidents von Microsoft erhält. Durch eine solche Benachrichtigung erfährt Ihr Sicherheitsteam, dass Azure-Ressourcen gefährdet sind, sodass schnell reagiert und potenzielle Sicherheitsrisiken behoben werden können.
Im Azure-Registrierungsportal können Sie sicherstellen, dass die Kontaktinformationen für Administratoren solche Details enthalten, dass Security Operations benachrichtigt wird. Die Kontaktinformationen bestehen aus einer E-Mail-Adresse und einer Telefonnummer.
Organisieren von Azure-Abonnements in Verwaltungsgruppen
Wenn Ihre Organisation über viele Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Azure-Verwaltungsgruppen stellen einen abonnementübergreifenden Bereich bereit. Sie organisieren Abonnements in Containern, die als Verwaltungsgruppen bezeichnet werden, und wenden Ihre Governancebedingungen auf die Verwaltungsgruppen an. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Verwaltungsgruppe angewendeten Bedingungen.
Sie können eine flexible Struktur von Verwaltungsgruppen und Abonnements in einem Verzeichnis erstellen. Jedes Verzeichnis erhält eine einzelne Verwaltungsgruppe auf oberster Ebene, die als Stammverwaltungsgruppe bezeichnet wird. Die Stammverwaltungsgruppe ist in die Hierarchie integriert, sodass ihr alle Verwaltungsgruppen und Abonnements untergeordnet sind. Die Stammverwaltungsgruppe ermöglicht das Anwenden von globalen Richtlinien und Azure-Rollenzuweisungen auf Verzeichnisebene.
Es folgen einige bewährte Methoden für die Verwendung von Verwaltungsgruppen:
Bewährte Methode: Stellen Sie sicher, dass beim Hinzufügen neuer Abonnements Governance-Elemente wie Richtlinien und Berechtigungen angewendet werden.
Detail: Verwenden Sie die Stammverwaltungsgruppe, um unternehmensweite Sicherheitselemente zuzuweisen, die für alle Azure-Ressourcen gelten. Richtlinien und Berechtigungen sind Beispiele für Elemente.
Bewährte Methode: Passen Sie die oberen Ebenen der Verwaltungsgruppen an eine Segmentierungsstrategie an, um einen Punkt für Steuerung und Richtlinienkonsistenz innerhalb jedes Segments bereitzustellen.
Detail: Erstellen Sie eine einzelne Verwaltungsgruppe für jedes Segment unter der Stammverwaltungsgruppe. Erstellen Sie keine anderen Verwaltungsgruppen unter der Stammverwaltungsgruppe.
Bewährte Methode: Begrenzen Sie die Tiefe der Verwaltungsgruppe, um Verwirrung zu vermeiden, die sowohl den Betrieb als auch die Sicherheit beeinträchtigt.
Detail: Begrenzen Sie die Hierarchie auf drei Ebenen, einschließlich der Stammverwaltungsgruppe.
Bewährte Methode: Wählen Sie sorgfältig aus, welche Elemente mit der Stammverwaltungsgruppe auf das gesamte Unternehmen angewendet werden.
Detail: Stellen Sie sicher, dass Elemente der Stammverwaltungsgruppe eindeutig für jede Ressource angewendet werden müssen und nur geringe Auswirkungen haben.
Geeignet sind:
- Gesetzliche Anforderungen, die eindeutige geschäftliche Auswirkungen haben (z.B. Einschränkungen im Zusammenhang mit der Datenhoheit)
- Anforderungen mit nahezu keinen potenziellen negativen Auswirkungen auf den Betrieb, wie Richtlinien mit der Auswirkung „audit“ oder Zuweisungen von Azure RBAC-Berechtigungen, die sorgfältig geprüft wurden
Bewährte Methode: Planen und testen Sie alle unternehmensweiten Änderungen an der Stammverwaltungsgruppe vor der Anwendung sehr sorgfältig (Richtlinie, Azure RBAC-Modell usw.).
Detail: Änderungen in der Stammverwaltungsgruppe können sich auf jede Ressource in Azure auswirken. Obwohl sie eine leistungsstarke Möglichkeit bieten, Konsistenz im gesamten Unternehmen zu gewährleisten, können sich Fehler oder eine falsche Verwendung negativ auf Produktionsvorgänge auswirken. Testen Sie alle Änderungen an der Stammverwaltungsgruppe in einer Testumgebung oder einem Pilotbereich für die Produktion.
Optimieren der Umgebungserstellung mit Blueprints
Der Azure Blueprints-Dienst ermöglicht es Cloudarchitekten und zentralen IT-Gruppen, eine wiederholbare Gruppe von Azure-Ressourcen zu definieren, mit der die Standards, Muster und Anforderungen einer Organisation implementiert und erzwungen werden. Mit Azure Blueprints können Entwicklungsteams schnell neue Umgebungen mit einer Reihe integrierter Komponenten bereitstellen und einrichten und dabei darauf vertrauen, dass sie diese Umgebungen entsprechend den Konformitätsanforderungen der Organisation erstellen.
Überwachen von Speicherdiensten auf unerwartete Änderungen des Verhaltens
Das Diagnostizieren und Behandeln von Problemen kann in einer verteilten Anwendung, die in einer Cloudumgebung gehostet wird, komplexer sein als in herkömmlichen Umgebungen. Anwendungen können in einer PaaS- oder IaaS-Infrastruktur, lokal, auf einem mobilen Gerät oder in einer Kombination dieser Umgebungen bereitgestellt werden. Der Netzwerkdatenverkehr Ihrer Anwendung fließt möglicherweise durch öffentliche und private Netzwerke, und Ihre Anwendung verwendet möglicherweise mehrere Speichertechnologien.
Es wird empfohlen, die von Ihrer Anwendung verwendeten Speicherdienste fortlaufend zu überwachen, um unerwartete Änderungen am Verhalten zu erkennen (z.B. eine langsamere Reaktionszeit). Erfassen Sie mit der Protokollierung umfangreichere Daten, anhand derer Sie ein Problem genauer analysieren können. Die Diagnoseinformationen, die Sie sowohl aus der Überwachung als auch der Protokollierung erhalten, helfen Ihnen, die Ursache des Problems, das bei Ihrer Anwendung auftritt, zu bestimmen. Dann können Sie das Problem behandeln und die entsprechenden Schritte zur Beseitigung bestimmen.
Azure Storage Analytics führt die Protokollierung durch und stellt Metrikdaten für ein Azure-Speicherkonto bereit. Es wird empfohlen, mit diesen Daten Anforderungen zu verfolgen, Verwendungstrends zu analysieren und Probleme mit dem Speicherkonto zu diagnostizieren.
Verhindern, Erkennen und Reagieren auf Bedrohungen
Microsoft Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen. indem Sie mehr Transparenz und bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen erhalten. Es bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements, hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt blieben, und kann gemeinsam mit einem breiten Spektrum an Sicherheitslösungen verwendet werden.
Der Free-Tarif von Defender for Cloud bietet eingeschränkte Sicherheit für Ihre Ressourcen in Azure sowie für Arc-fähige Ressourcen außerhalb von Azure. Die erweiterten Sicherheitsfeatures erweitern diese Funktionen um Bedrohungs- und Sicherheitsrisikomanagement sowie die Berichterstellung zur Einhaltung gesetzlicher Bestimmungen. Microsoft Defender for Cloud-Pläne helfen Ihnen, Sicherheitsrisiken zu finden und zu beseitigen, Zugriffs- und Anwendungssteuerungen anzuwenden, um böswillige Aktivitäten zu blockieren, Bedrohungen mithilfe von Analysen und intelligenter Funktionen zu erkennen und bei Angriffen schnell zu reagieren. Sie können Defender for Cloud Standard in den ersten 30 Tagen ohne Kosten testen. Es wird empfohlen, erweiterte Sicherheitsfeatures für Ihre Azure-Abonnements in Defender for Cloud zu aktivieren.
Verwenden Sie Defender for Cloud, um einen zentralen Überblick über den Sicherheitsstatus aller Ressourcen in Ihren eigenen Rechenzentren, in Azure und anderen Clouds zu erhalten. Erfahren Sie auf einen Blick, ob die erforderlichen Sicherheitskontrollfunktionen implementiert und ordnungsgemäß konfiguriert sind, und ermitteln Sie schnell Ressourcen, die Ihre Aufmerksamkeit erfordern.
Defender for Cloud bietet auch die Integration von Microsoft Defender for Endpoint, die umfassende Funktionen für Endpoint Detection and Response (EDR, Endpunkterkennung und Reaktion) bereitstellt. Mit der Integration von Microsoft Defender for Endpoint können Sie Anomalien und Sicherheitsrisiken erkennen. Sie können auch erweiterte Angriffe auf Serverendpunkte, die von Defender für Cloud überwacht werden, erkennen und darauf reagieren.
Fast alle Unternehmen verfügen über ein SIEM-System (Security Information and Event Management) zur Identifizierung aufkommender Bedrohungen durch Konsolidierung von Protokollinformationen, die von verschiedenen Geräten zur Signalerfassung stammen. Die Protokolle werden dann von einem Datenanalysesystem analysiert, um zwischen Stördatenverkehr, der bei allen Protokollsammlungs- und Analyselösungen unvermeidlich ist, und „interessanten“ Daten zu unterscheiden.
Microsoft Sentinel ist eine skalierbare, cloudnative Lösung für Security Information and Event Management (SIEM) und die Sicherheitsorchestrierung mit automatisierter Reaktion (Security Orchestration Automated Response, SOAR). Microsoft Sentinel bietet intelligente Sicherheits- und Bedrohungsanalysen über Warnungs- und Bedrohungserkennung, proaktive Suche und automatische Reaktion auf Bedrohungen.
Es folgen einige bewährte Methoden zum Verhindern, Erkennen und Reagieren auf Bedrohungen:
Bewährte Methode: Steigern Sie die Geschwindigkeit und Skalierbarkeit Ihrer SIEM-Lösung durch Verwendung von cloudbasiertem SIEM.
Detail: Untersuchen Sie die Features und Funktionen von Microsoft Sentinel, und vergleichen Sie diese mit den Funktionen der derzeit von Ihnen lokal verwendeten Lösung. Erwägen Sie den Einsatz von Microsoft Sentinel, wenn damit die SIEM-Anforderungen Ihrer Organisation erfüllt werden.
Bewährte Methode: Ermitteln Sie die schwerwiegendsten Sicherheitsrisiken, damit Sie die Untersuchung priorisieren können.
Detail: Überprüfen Sie Ihren Azure Secure Score, um die Empfehlungen zu sehen, die sich aus den in Microsoft Defender für Cloud integrierten Azure-Richtlinien und -Initiativen ergeben. Mithilfe dieser Empfehlungen können die wichtigsten Risiken wie Sicherheitsupdates, Endpunktschutz, Verschlüsselung, Sicherheitskonfigurationen, fehlende WAF, VMs mit Internetzugriff und vieles mehr angegangen werden.
Anhand der Sicherheitsbewertung, die auf CIS-Steuerelementen (Center for Internet Security) basiert, können Sie ein Benchmarking für die Azure-Sicherheit Ihrer Organisation gegenüber externen Quellen durchführen. Mithilfe einer externen Überprüfung können Sie die Sicherheitsstrategie Ihres Teams überprüfen und erweitern.
Bewährte Methode: Überwachen Sie den Sicherheitsstatus von Computern, Netzwerken, Speicher- und Datendiensten sowie Anwendungen, um potenzielle Sicherheitsprobleme aufzudecken und zu priorisieren.
Detail: Befolgen Sie die Sicherheitsempfehlungen in Defender für Cloud, beginnend mit den Elementen mit der höchsten Priorität.
Bewährte Methode: Integrieren Sie Defender für Cloud-Warnungen in Ihre SIEM-Lösung (Security Information and Event Management).
Detail: Die meisten Organisationen mit einer SIEM-Lösung verwenden diese als ein zentrales Clearinghouse für Sicherheitswarnungen, die eine Analystenantwort erfordern. Von Defender für Cloud erzeugte verarbeitete Ereignisse werden im Azure-Aktivitätsprotokoll veröffentlicht, einem der über Azure Monitor verfügbaren Protokolle. Azure Monitor bietet eine konsolidierte Pipeline zum Routing beliebiger Überwachungsdaten zu einem SIEM-Tool. Eine Anleitung finden Sie unter Streamen von Warnungen in eine SIEM-, SOAR- oder IT Service Management-Lösung. Wenn Sie Microsoft Sentinel verwenden, finden Sie weitere Informationen unter Microsoft Defender für Cloud.
Bewährte Methode: Integrieren von Azure-Protokollen in Ihr SIEM-System.
Detail: Verwenden Sie Azure Monitor zum Sammeln und Exportieren von Daten. Diese Vorgehensweise ist wichtig, damit Sicherheitsincidents untersucht werden können. Außerdem ist die Aufbewahrung von Onlineprotokollen beschränkt. Wenn Sie Microsoft Sentinel verwenden, finden Sie Informationen unter Herstellen einer Verbindung mit Datenquellen.
Bewährte Methode: Beschleunigen Sie Ihre Untersuchungs- und Ermittlungsprozesse, und verringern Sie falsch positive Ergebnisse durch Integration von Funktionen für Endpoint Detection and Response (EDR) in Ihre Untersuchung von Angriffen.
Detail: Aktivieren Sie die Integration von Microsoft Defender für den Endpunkt über Ihre Defender für Cloud-Sicherheitsrichtlinie. Ziehen Sie die Verwendung von Microsoft Sentinel zur Ermittlung von Bedrohungen und für die Reaktion auf Incidents in Betracht.
Szenariobasierte End-to-End-Netzwerküberwachung
Kunden erstellen ein End-to-End-Netzwerk in Azure, indem sie verschiedene Netzwerkressourcen wie z.B. virtuelle Netzwerke, ExpressRoute, Application Gateway und Load Balancer miteinander kombinieren. Überwachung steht für jede der Netzwerkressourcen zur Verfügung.
Azure Network Watcher ist ein regionaler Dienst. Mit diesem Dienst können Sie Bedingungen auf Netzwerkebene in Azure überwachen und diagnostizieren.
Im Folgenden sind bewährte Methoden für die Netzwerküberwachung und verfügbare Tools aufgelistet.
Bewährte Methode: Automatisieren der Remotenetzwerküberwachung per Paketerfassung.
Detail: Überwachen und diagnostizieren Sie mithilfe von Network Watcher Netzwerkprobleme, ohne sich bei Ihren virtuellen Computern anmelden zu müssen. Lösen Sie mithilfe von Warnungen die Paketerfassung aus, und erhalten Sie Zugriff auf Leistungsinformationen in Echtzeit auf Paketebene. Wenn Sie ein Problem feststellen, können Sie dieses detailliert untersuchen, um es besser diagnostizieren zu können.
Bewährte Methode: Gewinnen von Einblicken in den Netzwerkdatenverkehr mithilfe von Datenflussprotokollen.
Detail: Lernen Sie mithilfe von Datenflussprotokollen von Netzwerksicherheitsgruppen die Datenverkehrsmuster in Ihrem Netzwerk besser kennen. Mit den Daten aus den Datenflussprotokollen können Sie Erkenntnisse gewinnen, die Sie zum Erfüllen von Konformitätsanforderungen und zum Überwachen Ihres Netzwerksicherheitsprofils benötigen.
Bewährte Methode: Diagnostizieren von VPN-Konnektivitätsproblemen.
Detail: Verwenden Sie Network Watcher, um die am häufigsten auftretenden VPN Gateway- und Verbindungsprobleme zu diagnostizieren. Sie können nicht nur das Problem identifizieren, sondern auch umfangreiche Protokolle verwenden, um das Problem ausführlich zu untersuchen.
Sichern der Bereitstellung mithilfe von bewährten DevOps-Tools
Mit den folgenden bewährten DevOps-Methoden können Sie sicherstellen, dass Ihr Unternehmen und Team produktiv und effizient arbeiten.
Bewährte Methode: Automatisieren der Erstellung und Bereitstellung von Diensten.
Detail: Infrastruktur als Code sind Techniken und Methoden, die für IT-Experten die tägliche Erstellung und Verwaltung einer modularen Infrastruktur vereinfachen. IT-Experten können damit ihre moderne Serverumgebung so erstellen und verwalten, wie Softwareentwickler Anwendungscode erstellen und verwalten.
Mit dem Azure Resource Manager können Sie Ihre Anwendungen mit einer deklarativen Vorlage bereitstellen. In einer Vorlage können Sie mehrere Dienste zusammen mit ihren Abhängigkeiten bereitstellen. Sie verwenden die gleiche Vorlage, um Ihre Anwendung in jeder Phase des Anwendungslebenszyklus wiederholt bereitzustellen.
Bewährte Methode: Automatisches Erstellen und Bereitstellen von Azure-Web-Apps oder -Clouddiensten.
Detail: Sie können Azure DevOps Projects für automatisches Erstellen und Bereitstellen in Azure-Web-Apps oder -Clouddiensten konfigurieren. Azure DevOps stellt die Binärdateien nach der Durchführung eines Builds in Azure nach jedem Einchecken von Code automatisch bereit. Der Prozess der Paketerstellung entspricht dem Befehl „Packen“ in Visual Studio, und die Veröffentlichungsschritte entsprechen dem Befehl „Veröffentlichen“ in Visual Studio.
Bewährte Methode: Automatisieren der Releaseverwaltung.
Detail: Azure Pipelines ist eine Lösung für die Automatisierung einer mehrstufigen Bereitstellung und die Verwaltung des Releaseprozesses. Erstellen Sie verwaltete Continuous Deployment-Pipelines für schnelle, einfache und häufige Releases. Mit Azure Pipelines können Sie den Releaseprozess automatisieren und vordefinierte Genehmigungsworkflows einrichten. Stellen Sie lokal und in der Cloud bereit, und führen Sie nach Bedarf Erweiterungen und Anpassungen durch.
Bewährte Methode: Testen Sie die Leistung Ihrer Web-App, bevor Sie sie starten oder Updates für die Produktion bereitstellen.
Detail: Führen Sie cloudbasierte Auslastungstest für folgende Zwecke durch:
- Leistungsprobleme in Ihrer Web-App finden.
- Qualität der Bereitstellung verbessern.
- Verfügbarkeit Ihrer App sicherstellen.
- Stellen Sie sicher, dass Ihre App den Datenverkehr für die nächste Produkteinführung oder Marketingkampagne bewältigen kann.
Apache JMeter ist ein kostenloses und beliebtes Open-Source-Tool mit starker Community-Unterstützung.
Bewährte Methode: Überwachen der Anwendungsleistung.
Detail: Azure Application Insights ist ein erweiterbarer, für Webentwickler konzipierter Dienst zur Verwaltung der Anwendungsleistung (Application Performance Management, APM) auf mehreren Plattformen. Sie können mit Application Insights Ihre Live-Web-App überwachen. Der Dienst erkennt automatisch Leistungsanomalien. Er verfügt über Analysetools, mit denen Sie Probleme diagnostizieren und nachvollziehen können, wie Ihre App von Benutzern verwendet wird. Der Dienst unterstützt Sie bei der kontinuierlichen Verbesserung der Leistung und Benutzerfreundlichkeit Ihrer App.
Abwenden von und Schützen vor DDoS
Bei einem DDoS-Angriff versucht ein Angreifer, Anwendungsressourcen zu erschöpfen. Die Verfügbarkeit der Anwendung und ihre Fähigkeit, legitime Anforderungen zu verarbeiten, sollen beeinträchtigt werden. Diese Angriffe werden komplexer, ihr Ausmaß größer und ihre Auswirkungen gravierender. Jeder Endpunkt, der öffentlich über das Internet erreichbar ist, kann Ziel von DDoS-Angriffen werden.
Konzeptionen für Resilienz gegenüber DDoS-Angriffen setzen Planung und Entwürfe für eine Vielzahl von Fehlerzuständen voraus. Im Folgenden sind bewährte Methoden zum Erstellen von Anwendungen in Azure aufgelistet, die DDoS-Angriffen standhalten können.
Bewährte Methode: Stellen Sie sicher, dass die Sicherheit im gesamten Lebenszyklus einer Anwendung Priorität hat – von Entwurf und Implementierung bis hin zu Bereitstellung und Betrieb. Anwendungen können Fehler enthalten, die einer relativ geringen Anzahl von Anforderungen die Verwendung von vielen Ressourcen erlauben. Dies führt zu einem Dienstausfall.
Detail: Um einen in Microsoft Azure ausgeführten Dienst zu schützen, sollten Sie Ihre Anwendungsarchitektur verstehen und sich auf die five pillars of software quality (Fünf Säulen der Softwarequalität) konzentrieren. Sie sollten Folgendes kennen: das typische Datenverkehrsvolumen, das Modell der Konnektivität zwischen der Anwendung und anderen Anwendungen, sowie die Dienstendpunkte, die dem öffentlichen Internet verfügbar gemacht werden.
Es ist von größter Wichtigkeit sicherzustellen, dass eine Anwendung stabil genug ist, um mit einem Denial-of-Service-Angriff fertig zu werden. Sicherheit und Datenschutz sind direkt in der Azure-Plattform integriert, beginnend mit Security Development Lifecycle (SDL). Die SDL spricht Sicherheit in jeder Entwicklungsphase an und sorgt dafür, dass Azure kontinuierlich aktualisiert wird, um noch sicherer zu sein.
Bewährte Methode: Entwerfen der Anwendungen für eine horizontale Skalierung, um die Anforderungen einer verstärkten Auslastung zu erfüllen – insbesondere im Falle eines DDoS-Angriffs. Wenn Ihre Anwendung von einer einzelnen Instanz eines Diensts abhängig ist, entsteht dadurch ein Single Point of Failure. Durch Bereitstellen mehrerer Instanzen wird Ihr System stabiler und besser skalierbar.
Detail: Wählen Sie für Azure App Service einen App Service-Plan aus, der mehrere Instanzen bietet.
Konfigurieren Sie für Azure Cloud Services alle Rollen so, dass sie mehrere Instanzen verwenden.
Stellen Sie für Azure-VMS sicher, dass die VM-Architektur mehr als eine VM enthält und dass jede VM zu einer Verfügbarkeitsgruppe gehört. Sie sollten Virtual Machine Scale Sets für Funktionen zur automatischen Skalierung verwenden.
Bewährte Methode: Abwehrmaßnahmen in die Schichten einer Anwendung zu integrieren reduziert die Wahrscheinlichkeit eines erfolgreichen Angriffs. Implementieren Sie sichere Entwürfe für Ihre Anwendungen mithilfe der integrierten Funktionen der Azure-Plattform.
Detail: Das Angriffsrisiko steigt mit der Größe (Oberflächenbereich) der Anwendung. Sie können die Oberfläche durch Verwendung einer Genehmigungsliste verringern, um den verfügbar gemachten IP-Adressraum und die Überwachungsports zu schließen, die im Lastenausgleichsmodul (Azure Load Balancer und Azure Application Gateway) nicht mehr benötigt werden.
Durch Netzwerksicherheitsgruppen kann die angreifbare Oberfläche ebenfalls reduziert werden. Sie können mit Diensttags und Anwendungssicherheitsgruppen das Erstellen von Sicherheitsregeln weniger komplex machen und Netzwerksicherheit als natürliche Erweiterung der Struktur einer Anwendung konfigurieren.
Sie sollten Azure-Dienste nach Möglichkeit in einem virtuellen Netzwerk bereitstellen. Mit dieser Methode können Dienstressourcen über private IP-Adressen kommunizieren. Standardmäßig werden für Datenverkehr von Azure-Diensten aus einem virtuellen Netzwerk öffentliche IP-Adressen als Quell-IP-Adressen verwendet.
Bei Verwendung von Dienstendpunkten wechselt der Dienstdatenverkehr zu privaten Adressen im virtuellen Netzwerk als Quell-IP-Adressen, wenn aus einem virtuellen Netzwerk auf den Azure-Dienst zugegriffen wird.
Häufig werden lokale Ressourcen von Kunden zusammen mit ihren Azure-Ressourcen angegriffen. Wenn Sie die Verbindung einer lokalen Umgebung mit Azure herstellen, machen Sie lokale Ressourcen so wenig wie möglich im öffentlichen Internet verfügbar.
Azure bietet zwei DDoS-Dienstangebote, die vor Netzwerkangriffen schützen:
- Basic-Schutz ist standardmäßig und ohne zusätzliche Kosten in der Azure-Plattform integriert. Die Skalierung und Kapazität des global bereitgestellten Azure-Netzwerks bietet Schutz vor häufigen Vermittlungsschichtangriffen durch Always On-Datenverkehrsüberwachung und Risikominderung in Echtzeit. Für den Basic-Schutz sind keine weiteren Konfigurationen oder Anwendungsänderungen von Seiten des Benutzers erforderlich. Mit diesem Schutz können Sie alle Azure-Dienste schützen, u.a. PaaS-Dienste wie Azure DNS.
- Der Standard-Schutz bietet erweiterte DDoS-Abwehrfunktionen gegen Netzwerkangriffe. Es wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen zu schützen. Der Schutz lässt sich einfach während der Erstellung virtueller Netzwerke aktivieren. Dies ist auch nach der Erstellung möglich und erfordert keine Änderungen der Anwendung oder Ressourcen.
Aktivieren von Azure Policy
Azure Policy ist ein Dienst in Azure, mit dem Sie Richtlinien erstellen, zuweisen und verwalten können. Mit diesen Richtlinien werden Regeln und Auswirkungen für Ihre Ressourcen erzwungen, damit diese stets mit Ihren Unternehmensstandards und Vereinbarungen zum Servicelevel konform bleiben. Azure Policy erfüllt diese Anforderung, indem Ihre Ressourcen auf die Nichteinhaltung der zugewiesenen Richtlinien überprüft werden.
Aktivieren Sie Azure Policy zum Überwachen und Erzwingen der schriftlichen Richtlinie Ihrer Organisation. Dadurch wird die Einhaltung unternehmensspezifischer oder gesetzlicher Sicherheitsvorschriften sichergestellt, indem Sicherheitsrichtlinien für alle Hybridcloud-Workloads zentral verwaltet werden. Erfahren Sie mehr über das Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung. Eine Übersicht über die Elemente einer Richtlinie finden Sie unter Struktur von Azure Policy-Definitionen.
Es folgen einige bewährte Sicherheitsmethoden, die nach der Aktivierung von Azure Policy zu befolgen sind:
Bewährte Methode: Policy unterstützt verschiedene Arten von Auswirkungen. Informationen dazu finden Sie unter Struktur von Azure Policy-Definitionen. Geschäftsvorgänge können durch die Auswirkungen deny und remediate negativ beeinflusst werden. Beginnen Sie deshalb mit der Auswirkung audit, um das Risiko einer negativen Beeinflussung durch die Richtlinie zu begrenzen.
Detail: Beginnen Sie Richtlinienbereitstellungen im Überwachungsmodus (audit), und fahren Sie dann später mit deny oder remediate fort. Testen und überprüfen Sie die Ergebnisse der Auswirkung „audit“, bevor Sie mit deny oder remediate fortfahren.
Weitere Informationen finden Sie unter Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung.
Bewährte Methode: Identifizieren Sie die Rollen, die dafür verantwortlich sind, dass Richtlinienverletzungen überwacht werden und sichergestellt ist, dass die richtige Korrekturaktion schnell ausgeführt wird.
Detail: Lassen Sie über das Azure-Portal oder über die Befehlszeile die zugewiesene Rolle die Einhaltung überwachen.
Bewährte Methode: Azure Policy ist eine technische Darstellung der schriftlichen Richtlinien einer Organisation. Ordnen Sie alle Azure Policy-Definitionen Organisationsrichtlinien zu, um Verwirrung zu vermeiden und die Konsistenz zu steigern.
Detail: Dokumentieren Sie die Zuordnung in der Dokumentation Ihrer Organisation oder direkt in der Azure Policy-Definition, indem Sie einen Verweis auf die Organisationsrichtlinie in der Richtliniendefinition oder der Beschreibung der Initiativendefinition hinzufügen.
Überwachen von Microsoft Entra-Risikoberichten
Die allermeisten Sicherheitsverletzungen kommen vor, wenn Angreifer Zugriff auf eine Umgebung erhalten, indem sie die Identität eines Benutzers stehlen. Die Ermittlung von kompromittierten Identitäten ist keine einfache Aufgabe. Microsoft Entra ID verwendet adaptive Algorithmen und Heuristiken des maschinellen Lernens, um verdächtige Aktivitäten im Zusammenhang mit Ihren Benutzerkonten zu erkennen. Jede erkannte verdächtige Aktion wird in einem Datensatz gespeichert, der als Risikoerkennung bezeichnet wird. Risikoerkennungen werden in Microsoft Entra-Sicherheitsberichten aufgezeichnet. Weitere Informationen finden Sie unter Bericht „Benutzer mit Risikomarkierung“ und unter Bericht „Riskante Anmeldungen“.
Nächste Schritte
Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.
Die folgenden Ressourcen enthalten allgemeinere Informationen zur Sicherheit in Azure und verwandten Microsoft-Diensten:
- Blog des Azure-Sicherheitsteams: Hier finden Sie Informationen über den aktuellen Stand der Azure-Sicherheit.
- Microsoft Security Response Center: Hier können Sie Microsoft-Sicherheitsrisiken, z.B. Probleme mit Azure, melden oder eine E-Mail an secure@microsoft.com schreiben.