Einführung in die Azure-Sicherheit
Übersicht
Wir wissen, dass Sicherheit in der Cloud an erster Stelle steht und wie wichtig es ist, dass Sie präzise und zeitnahe Informationen zur Azure-Sicherheit finden. Eines der schlagkräftigsten Argumente dafür, Azure für Anwendungen und Dienste zu verwenden, ist die Vielzahl an Sicherheitstools und -funktionen. Diese Tools und Funktionen ermöglichen die Erstellung sicherer Lösungen auf der Grundlage der sicheren Azure-Plattform. Microsoft Azure bietet sowohl Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten als auch eine transparente Verantwortlichkeit.
Dieser Artikel bietet einen umfassenden Überblick über die Sicherheitsfeatures von Azure.
Azure Platform
Azure ist eine öffentliche Clouddienstplattform, die eine breite Palette an Betriebssystemen, Programmiersprachen, Frameworks, Tools, Datenbanken und Geräten unterstützt. Es kann Linux-Container mit Docker-Integration ausführen, Apps mit JavaScript, Python, .NET, PHP, Java und Node.js sowie Back-Ends für iOS-, Android- und Windows-Geräte erstellen.
Die öffentlichen Azure-Clouddienste unterstützen dieselben Technologien, die bereits von Millionen von Entwicklern und IT-Profis zuverlässig eingesetzt werden. Wenn Sie IT-Ressourcen darauf erstellen oder zu einem öffentlichen Clouddienstanbieter migrieren, verlassen Sie sich darauf, dass die jeweilige Organisation Ihre Anwendungen und Daten mit den Diensten und Steuerungsmöglichkeiten schützen kann, die sie zum Verwalten der Sicherheit Ihrer cloudbasierten Ressourcen bereitstellt.
Die Infrastruktur von Azure ist von den Hardwareressourcen bis zu den Anwendungen vollständig auf das gleichzeitige Hosten von Millionen von Kunden ausgelegt und stellt für Unternehmen eine vertrauenswürdige Grundlage zur Erfüllung ihrer Sicherheitsanforderungen dar.
Darüber hinaus bietet Azure Ihnen ein breites Spektrum an konfigurierbaren Sicherheitsoptionen, die Sie selbst steuern können, um die Sicherheit an die individuellen Anforderungen der Bereitstellungen Ihrer Organisation anzupassen. Dieses Dokument hilft Ihnen dabei zu verstehen, wie Ihnen die Azure-Sicherheitsfunktionen dabei helfen können, diese Anforderungen zu erfüllen.
Hinweis
Der Hauptfokus in diesem Dokument richtet sich auf Steuerelemente für Kunden, mit denen Sie die Sicherheit für Ihre Anwendungen und Dienste anpassen und erhöhen können.
Informationen zu den Schutzmaßnahmen von Microsoft für die eigentliche Azure-Plattform finden Sie unter Sicherheit der Azure-Infrastruktur.
Zusammenfassung der Azure-Sicherheitsfunktionen
In Abhängigkeit vom Clouddienstmodell besteht dahingehend eine variable Verantwortlichkeit, wer für die Verwaltung der Sicherheit der Anwendungen oder Dienste zuständig ist. Azure Platform verfügt über Funktionen, die Sie beim Erfüllen dieser Aufgaben durch integrierte Features sowie durch Partnerlösungen unterstützen, die in ein Azure-Abonnement implementiert werden können.
Die integrierten Funktionen sind in sechs Funktionsbereiche unterteilt: Vorgänge, Anwendungen, Speicher, Netzwerk, Compute und Identität. Weitere Details zu den Features und Funktionen, die in der Azure-Plattform in diesen sechs Bereichen zur Verfügung stehen, werden als zusammenfassende Informationen bereitgestellt.
Operationen (Operations)
Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features von Sicherheitsvorgängen und zusammenfassende Informationen zu diesen Funktionen.
Microsoft Sentinel
Microsoft Sentinel ist eine skalierbare, cloudnative Lösung für Security Information & Event Management (SIEM) sowie für Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation, and Response, SOAR). Microsoft Sentinel bietet intelligente Sicherheits- und Bedrohungsanalysen für das gesamte Unternehmen und stellt eine zentrale Lösung für Angriffs- und Bedrohungserkennung, proaktives Hunting und die Reaktion auf Bedrohungen dar.
Microsoft Defender für Cloud
Microsoft Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen. Mit dieser Cloudlösung gewinnen Sie mehr Transparenz und bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements, hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum an Sicherheitslösungen verwendet werden.
Außerdem hilft Ihnen Defender für Cloud bei Sicherheitsvorgängen, indem Ihnen ein einzelnes Dashboard bereitgestellt wird, das als Oberfläche für Warnungen und Empfehlungen dient, auf die sofort reagiert werden kann. Häufig lassen sich Probleme mit einem einzigen Klick innerhalb des Bedienfelds von Defender für Cloud beseitigen.
Azure Resource Manager
Mit dem Azure Resource Manager können Sie als Gruppe mit den Ressourcen in Ihrer Lösung arbeiten. Sie können alle Ressourcen für Ihre Lösung in einem einzigen koordinierten Vorgang bereitstellen, aktualisieren oder löschen. Sie verwenden eine Azure Resource Manager-Vorlage für die Bereitstellung, die für unterschiedliche Umgebungen geeignet sein kann, z. B. Testing, Staging und Produktion. Der Ressourcen-Manager bietet Sicherheits-, Überwachungs- und Kennzeichnungsfunktionen, mit denen Sie Ihre Ressourcen nach der Bereitstellung verwalten können.
Auf Azure Resource Manager-Vorlagen basierte Bereitstellungen helfen dabei, die Sicherheit von Lösungen zu verbessern, die in Azure bereitgestellt werden, da standardmäßige Einstellungen für die Sicherheitskontrolle in standardisierte vorlagenbasierte Bereitstellungen integriert werden können. Dies verringert das Risiko von Fehlern bei der Sicherheitskonfiguration, die möglicherweise bei manuellen Bereitstellungen auftreten können.
Application Insights
Application Insights ist ein erweiterbarer, für Webentwickler konzipierter Dienst zur Verwaltung der Anwendungsleistung (Application Performance Management, APM). Mit Application Insights können Sie Ihre aktiven Webanwendungen überwachen und automatisch Leistungsanomalien erkennen. Er verfügt über leistungsstarke Analysetools, mit denen Sie Probleme diagnostizieren und nachvollziehen können, wie Ihre App von den Benutzern verwendet wird. Er überwacht Ihre Anwendung während der gesamten Ausführung – sowohl in der Testphase als auch nach der Veröffentlichung oder Bereitstellung.
Application Insights erstellt Diagramme und Tabellen, die beispielsweise Aufschluss darüber geben, zu welchen Tageszeiten das Benutzerinteresse besonders groß ist, wie gut die App reagiert und wie gut sie von externen Diensten versorgt wird, von denen sie unter Umständen abhängig ist.
Im Falle von Abstürzen, Fehlern oder Leistungsproblemen können Sie die Telemetriedaten im Detail durchsuchen, um die Fehlerursache zu ermitteln. Darüber hinaus informiert Sie der Dienst per E-Mail, falls sich die Verfügbarkeit oder Leistung Ihrer App ändert. Application Insights wird daher zu einem wertvollen Sicherheitstool, da es bei der Verfügbarkeit hilft, die zu den drei Sicherheitsbereichen zählt: Vertraulichkeit, Integrität und Verfügbarkeit.
Azure Monitor
Azure Monitor bietet Visualisierung, Abfrage, Weiterleitung, Warnung, automatische Skalierung und Automatisierung für Daten sowohl aus dem Azure-Abonnement (Aktivitätsprotokoll) als auch aus jeder einzelnen Azure-Ressource (Ressourcenprotokolle). Mit Azure Monitor können Sie sich bei sicherheitsrelevanten Ereignissen warnen lassen, die in Azure-Protokollen generiert werden.
Azure Monitor-Protokolle
Azure Monitor-Protokolle bietet eine IT-Verwaltungslösung für lokale Infrastrukturen und cloudbasierte Drittanbieterinfrastrukturen (z.B. AWS) zusätzlich zu Azure-Ressourcen. Daten von Azure Monitor können direkt an Azure Monitor-Protokolle weitergeleitet werden, sodass Sie die Metriken und Protokolle für Ihre gesamte Umgebung an einem Ort finden.
Azure Monitor-Protokolle kann ein hilfreiches Tool bei forensischen und anderen Sicherheitsanalysen sein, da Sie mit dem Tool schnell große Mengen von sicherheitsbezogenen Einträgen mit einem flexiblen Abfrageansatz durchsuchen können. Darüber hinaus können lokale Firewall- und Proxyprotokolle in Azure exportiert und für die Analyse mit Azure Monitor-Protokolle zur Verfügung gestellt werden.
Azure Advisor
Beim Azure Advisor handelt es sich um einen personalisierten Cloudberater, der Sie beim Optimieren von Azure-Bereitstellungen unterstützt. Er analysiert Ihre Ressourcenkonfiguration und Nutzungstelemetrie. Anschließend schlägt er Lösungen vor, um die Leistung, Sicherheit und Zuverlässigkeit Ihrer Ressourcen zu verbessern, und sucht gleichzeitig nach Möglichkeiten, Ihre Azure-Gesamtausgaben zu reduzieren. Der Azure Advisor bietet Sicherheitsempfehlungen, die den Gesamtsicherheitsstatus für Lösungen erheblich verbessern können, die Sie in Azure bereitstellen. Diese Empfehlungen stammen aus der Sicherheitsanalyse, die vom Microsoft Defender für Cloud durchgeführt wurde.
Anwendungen
Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features der Anwendungssicherheit und zusammenfassende Informationen zu diesen Funktionen.
Penetrationstests
Wir führen keinen Penetrationstest Ihrer Anwendung durch, aber wir verstehen, dass Sie Tests Ihrer eigenen Anwendungen durchführen möchten und müssen. Das ist eine gute Sache, denn wenn Sie die Sicherheit Ihrer Anwendungen verbessern, machen Sie das gesamte Azure-Ökosystem sicherer. Obwohl die Benachrichtigung von Microsoft über Penetrationstestaktivitäten nicht mehr erforderlich ist, müssen Kunden weiterhin die Einsatzregeln für Penetrationstests für die Microsoft Cloud einhalten.
Web Application Firewall
Die Web Application Firewall (WAF) in Azure Application Gateway hilft beim Schutz von Webanwendungen vor gängigen webbasierten Angriffen wie der Einschleusung von SQL-Code, Angriffen durch websiteübergreifende Skripts und der Übernahme von Sitzungen. Dazu bietet sie Schutz vor den Sicherheitsrisiken, die das Open Web Application Security Project (OWASP) als die zehn häufigsten ermittelt hat.
Authentifizierung und Autorisierung in Azure App Service
Mithilfe des Authentifizierungs-/Autorisierungsfeatures von App Service kann Ihre Anwendung Benutzer anmelden, sodass Sie keine Codeänderungen für das Back-End der App vornehmen müssen. Es stellt eine einfache Möglichkeit zum Schutz Ihrer Anwendung und für die Arbeit mit benutzerspezifischen Daten bereit.
Mehrstufige Sicherheitsarchitektur
Da App Service-Umgebungen eine in einem Azure Virtual Network bereitgestellte isolierte Laufzeitumgebung bieten, können Entwickler eine mehrstufige Sicherheitsarchitektur erstellen, in der sie abgestuften Netzwerkzugriff für jede Anwendungsschicht gewähren können. Üblicherweise sollten API-Back-Ends nicht dem allgemeinen Internetzugriff preisgegeben werden, und APIs sollten nur von Upstream-Web-Apps aufgerufen werden können. Um den öffentlichen Zugriff auf API-Anwendungen zu beschränken, können Netzwerksicherheitsgruppen (Network Security Groups, NSGs) in Azure Virtual Network-Subnetzen mit App Service-Umgebungen verwendet werden.
Webserver- und Anwendungsdiagnose
App Service-Web-Apps bieten Diagnosefunktionen zum Protokollieren von Informationen sowohl über den Webserver als auch über die Webanwendung. Diese sind logisch in Webserverdiagnose und Anwendungsdiagnose unterteilt. Ein Webserver bezieht zwei wichtige Fortschritte bei der Diagnose und Problembehandlung von Websites und Anwendungen ein.
Das erste neue Feature sind Zustandsinformationen in Echtzeit zu Anwendungspools, Workerprozessen, Websites, Anwendungsdomänen und aktiven Anforderungen. Der zweite Vorteil sind ausführliche Ablaufverfolgungsereignisse, die eine Anforderung während des vollständigen Prozesses (Anforderung und Antwort) nachverfolgen.
IIS 7 kann zur Aktivierung der Auflistung dieser Ablaufverfolgungsereignisse so konfiguriert werden, dass für jede bestimmte Anforderung, die auf der abgelaufenen Zeit oder auf Fehlerantwortcodes basiert, automatisch vollständige Ablaufverfolgungsprotokolle im XML-Format erfasst werden.
Storage
Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features der Azure-Speichersicherheit und zusammenfassende Informationen zu diesen Funktionen.
Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC)
Sie können Ihr Speicherkonto mit der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) sichern. Das Einschränken des Zugriffs auf der Grundlage der Sicherheitsprinzipien Need to know und Least Privilege ist für Organisationen unerlässlich, die Sicherheitsrichtlinien für den Datenzugriff erzwingen möchten. Diese Zugriffsrechte werden gewährt, indem Gruppen und Anwendungen die jeweils geeignete Azure-Rolle für einen bestimmten Bereich zugewiesen wird. Sie können in Azure integrierte Rollen (z. B. „Speicherkontomitwirkender“) verwenden, um Benutzern Berechtigungen zuzuweisen. Zugriff auf die Speicherschlüssel für ein Speicherkonto mit dem Azure Resource Manager-Modell kann über rollenbasierte Azure RBAC gesteuert werden.
Shared Access Signature (SAS)
Shared Access Signatures (SAS) ermöglichen den delegierten Zugriff auf Ressourcen in Ihrem Speicherkonto. Eine SAS bietet die Möglichkeit, einem Client für einen bestimmten Zeitraum spezielle eingeschränkte Berechtigungen für Objekte in Ihrem Speicherkonto zu erteilen. Dazu müssen Sie nicht Ihre Kontozugriffsschlüssel freigeben.
Verschlüsselung während der Übertragung
Verschlüsselung während der Übertragung ist ein Mechanismus zum Schutz der Daten bei der Übertragung über Netzwerke hinweg. Mit Azure Storage können Sie Daten mit folgenden Verfahren schützen:
Verschlüsselung auf Transportebene(etwa HTTPS), wenn Sie Daten in oder aus Azure Storage übertragen.
Wire-Verschlüsselung (etwa SMB 3.0-Verschlüsselung für Azure-Dateifreigaben).
Clientseitiger Verschlüsselung, um die Daten zu verschlüsseln, bevor sie in den Speicher übertragen werden, und nach der Übertragung aus dem Speicher zu entschlüsseln.
Verschlüsselung ruhender Daten
Für viele Organisationen ist die Verschlüsselung von ruhenden Daten ein obligatorischer Schritt in Richtung Datenschutz, Compliance und Datenhoheit. Drei Azure-Features zur Speichersicherheit ermöglichen die Verschlüsselung „ruhender“ Daten:
Storage Service Encryption können Sie anfordern, dass der Speicherdienst die Daten beim Schreiben in Azure Storage automatisch verschlüsselt.
Client-side Encryption ermöglicht ebenfalls eine Verschlüsselung ruhender Daten.
Azure Disk Encryption für Linux-VMs and Azure Disk Encryption für Windows-VMs ermöglichen Ihnen, die Betriebssystemdatenträger und Datendatenträger zu verschlüsseln, die von einem virtuellen IaaS-Computer verwendet werden.
Speicheranalyse
Die Azure-Speicheranalyse führt die Protokollierung aus und stellt Metrikdaten für ein Speicherkonto bereit. Mit diesen Daten können Sie Anforderungen verfolgen, Verwendungstrends analysieren und Probleme mit dem Speicherkonto diagnostizieren. Storage Analytics protokolliert ausführliche Informationen zu erfolgreichen und nicht erfolgreichen Anforderungen an einen Speicherdienst. Anhand dieser Informationen können einzelne Anforderungen überwacht und Probleme mit einem Speicherdienst untersucht werden. Anforderungen werden auf Grundlage der besten Leistung protokolliert. Die folgenden Typen authentifizierter Anforderungen werden protokolliert:
- Erfolgreiche Anforderungen
- Fehlerhafte Anforderungen, einschließlich Timeout-, Drosselungs-, Netzwerk- und Autorisierungsfehler sowie anderer Fehler
- Anforderungen mithilfe einer SAS (Shared Access Signature), einschließlich fehlerhafter und erfolgreicher Anforderungen
- Anforderungen von Analysedaten
Aktivieren browserbasierter Clients über CORS
Ressourcenfreigabe zwischen verschiedenen Ursprüngen (Cross-Origin Resource Sharing, CORS) ist ein Mechanismus, der es Domänen gestattet, sich gegenseitig die Zugriffsberechtigung für die Ressourcen der anderen Domänen zu erteilen. Der Benutzer-Agent sendet zusätzliche Header, um sicherzustellen, dass der von einer bestimmten Domäne geladene JavaScript-Code auf Ressourcen zugreifen kann, die sich in einer anderen Domäne befinden. Die letztere Domäne antwortet dann mit zusätzlichen Headern, die der ursprünglichen Domäne den Zugriff auf ihre Ressourcen gestattet oder verweigert.
Die Azure-Speicherdienste unterstützten jetzt CORS, damit nach dem Festlegen der CORS-Regeln für den Dienst eine ordnungsgemäß authentifizierte Anforderung ausgewertet wird, die von einer anderen Domäne an den Dienst gesendet wurde, um zu ermitteln, ob die Anforderung gemäß den von Ihnen festgelegten Regeln zulässig ist.
Netzwerk
Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features der Azure-Netzwerksicherheit und zusammenfassende Informationen zu diesen Funktionen.
Kontrollen der Vermittlungsschicht
Netzwerkzugriffssteuerung bedeutet, die Konnektivität zu oder ausgehend von bestimmten Geräten oder Subnetzen zu begrenzen. Dies stellt den Kern der Netzwerksicherheit dar. Das Ziel der Netzwerkzugriffssteuerung ist sicherzustellen, dass Ihre virtuellen Computer und Dienste nur denjenigen Benutzern und Geräten zugänglich sind, denen Sie den Zugriff auch erlauben möchten.
Netzwerksicherheitsgruppen
Eine Netzwerksicherheitsgruppe (NSG) ist eine einfache Firewall, die zustandsbehaftete Pakete filtert und die Zugriffssteuerung auf Grundlage eines 5-Tupels ermöglicht. NSGs bieten weder eine Inspektion auf Anwendungsebene noch authentifizierte Zugriffssteuerungen. Sie können dazu verwendet werden, um den Datenverkehr zu steuern, der zwischen Subnetzen in einem Azure Virtual Network und zwischen einem Azure Virtual Network und dem Internet bewegt wird.
Azure Firewall
Azure Firewall ist ein cloudnativer, intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre cloudbasierten, in Azure ausgeführten Workloads bietet. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Sie ermöglicht die Untersuchung von Ost-West- und Nord-Süd-Datenverkehr.
Azure Firewall wird in zwei SKUs angeboten: Standard und Premium. Azure Firewall Standard bietet L3- bis L7-Filterung und Threat Intelligence-Feeds direkt von Microsoft Cyber Security. Azure Firewall Premium bietet erweiterte Funktionen wie signaturbasiertes IDPS, um eine schnelle Erkennung von Angriffen zu ermöglichen, indem nach bestimmten Mustern gesucht wird.
Routensteuerung und Tunnelerzwingung
Die Steuerung des Routingverhaltens in Ihren virtuellen Azure-Netzwerken ist eine entscheidende Funktion in den Bereichen Netzwerksicherheit und Zugriffssteuerung. Wenn Sie z. B. sicherstellen möchten, dass der gesamte Datenverkehr zu und ausgehend von Ihrem Azure Virtual Network Ihr virtuelles Sicherheitsgerät passiert, müssen Sie das Routingverhalten steuern und anpassen können. Sie erreichen dies über die Konfiguration der benutzerdefinierten Routen in Azure.
Benutzerdefinierte Routen ermöglichen Ihnen, eingehende und ausgehende Pfade für den Datenverkehr anzupassen, der zu oder von einzelnen virtuellen Computern oder Subnetzen bewegt wird, um möglichst die sicherste Route zu gewährleisten. Mithilfe der Tunnelerzwingung können Sie sicherstellen, dass Ihre Dienste nicht über die Erlaubnis verfügen, eine Verbindung mit Geräten im Internet zu initiieren.
Dieser Mechanismus unterscheidet sich von der Möglichkeit zur Annahme eingehender Verbindungen und der Antwort auf diese. Front-End-Webserver müssen auf Anforderungen von Internethosts antworten. Aus dem Internet stammender, auf diesen Webservern eingehender Datenverkehr wird daher erlaubt und die Webserver dürfen antworten.
Die Tunnelerzwingung wird häufig verwendet, um für ausgehenden Datenverkehr für das Internet zu erzwingen, dass dieser lokale Sicherheitsproxys und Firewalls durchläuft.
Appliances für die Sicherheit des virtuellen Netzwerks
Obwohl Netzwerksicherheitsgruppen, benutzerdefinierte Routen und die Tunnelerzwingung Sicherheit in der Vermittlungs- und Transportschicht des OSI-Modellsbieten, kann es vorkommen, dass Sie Sicherheit auf höheren Ebenen aktivieren möchten. Sie können mit einer Azure-Partnerlösung für Appliances für die Sicherheit des Netzwerks auf diese erweiterten Netzwerksicherheitsfeatures zugreifen. Die aktuellsten Azure-Partnerlösungen für Netzwerksicherheit finden Sie im Azure Marketplace , und indem Sie nach den Stichworten „Sicherheit“ und „Netzwerksicherheit“ suchen.
Virtuelles Azure-Netzwerk
Ein virtuelles Azure-Netzwerk (VNet) ist eine Darstellung Ihres eigenen Netzwerks in der Cloud. Es ist eine logische Isolierung der Azure-Netzworkfabric für Ihr Abonnement. Sie können die IP-Adressblöcke, DNS-Einstellungen, Sicherheitsrichtlinien und Routentabellen in diesem Netzwerk vollständig steuern. Sie können Ihr VNet in Subnetze segmentieren und virtuelle Azure IaaS-Computer (VMs) und/oder Cloud Services (PaaS-Rolleninstanzen) in Azure Virtual Networks platzieren.
Zudem können Sie das virtuelle Netzwerk mit einer der Konnektivitätsoptionen in Azure mit Ihrem lokalen Netzwerk verbinden. Im Wesentlichen können Sie Ihr Netzwerk mit vollständiger Kontrolle über IP-Adressblöcke auf Azure ausdehnen und von der Azure-Skalierung auf Unternehmensebene profitieren.
Azure-Netzwerke unterstützen verschiedene Szenarien für den sicheren Remotezugriff. Dazu zählen:
Verbinden einzelner Arbeitsstationen mit einem Azure Virtual Network
Verbinden eines lokalen Netzwerks mit einem Azure Virtual Network mithilfe eines VPN
Azure Virtual Network Manager
Azure Virtual Network Manager bietet eine zentrale Lösung zum Schutz Ihrer virtuellen Netzwerke im großen Maßstab. Es verwendet Sicherheitsadministratorregeln , um Sicherheitsrichtlinien für Ihre virtuellen Netzwerke in Ihrer gesamten Organisation zentral zu definieren und zu erzwingen. Sicherheitsadministratorregeln haben Vorrang vor Netzwerksicherheitsgruppenregeln(NSGs) und werden auf das virtuelle Netzwerk angewendet. Auf diese Weise können Organisationen Kernrichtlinien mit Sicherheitsadministratorregeln erzwingen und gleichzeitig nachgelagerte Teams die NSGs entsprechend ihren spezifischen Anforderungen auf subnetz- und NIC-Ebene anpassen. Abhängig von den Anforderungen Ihrer Organisation können Sie Zulassen, Verweigern oder Immer zulassen-Regelaktionen verwenden, um Sicherheitsrichtlinien zu erzwingen.
Regelaktion | Beschreibung |
---|---|
Zulassen | Lässt den angegebenen Datenverkehr standardmäßig zu. Nachgeschaltete NSGs erhalten diesen Datenverkehr weiterhin und können sie verweigern. |
Immer zulassen | Lassen Sie den angegebenen Datenverkehr immer zu, unabhängig von anderen Regeln mit niedrigerer Priorität oder NSGs. Dies kann verwendet werden, um sicherzustellen, dass der Überwachungs-Agent, der Domänencontroller oder der Verwaltungsdatenverkehr nicht blockiert wird. |
Deny (Verweigern) | Blockieren sie den angegebenen Datenverkehr. Nachgeschaltete NSGs werden diesen Datenverkehr nicht auswerten, nachdem sie von einer Sicherheitsadministratorregel verweigert wurden, um sicherzustellen, dass Ihre Hochrisikoports für vorhandene und neue virtuelle Netzwerke standardmäßig geschützt sind. |
In Azure Virtual Network Manager können Sie virtuelle Netzwerke für die zentrale Verwaltung und Durchsetzung von Sicherheitsrichtlinien gruppieren. Netzwerkgruppen sind eine logische Gruppierung virtueller Netzwerke basierend auf Ihren Anforderungen aus einer Topologie und Sicherheitsperspektive. Sie können die virtuelle Netzwerkmitgliedschaft Ihrer Netzwerkgruppen manuell aktualisieren oder bedingte Anweisungen mit Azure Policy definieren, um Netzwerkgruppen dynamisch zu aktualisieren, um Ihre Netzwerkgruppenmitgliedschaft automatisch zu aktualisieren.
Azure Private Link
Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-PaaS-Dienste (beispielsweise Azure Storage und SQL Database) sowie auf in Azure gehostete kundeneigene Dienste/Partnerdienste zugreifen. Die Einrichtung und Nutzung von Azure Private Link ist in Azure PaaS-, Kunden- und gemeinsam genutzten Partnerdiensten einheitlich. Der Datenverkehr aus Ihrem virtuellen Netzwerk an den Azure-Dienst verbleibt immer im Backbone-Netzwerk von Microsoft Azure.
Private Endpunkte ermöglichen es Ihnen, Ihre kritischen Azure-Dienstressourcen auf Ihre virtuellen Netzwerke zu beschränken und so zu schützen. Private Azure-Endpunkte verwenden eine private IP-Adresse Ihres virtuellen Netzwerks (VNet), um eine private und sichere Verbindung mit einem von Azure Private Link unterstützten Dienst herzustellen, wodurch der Dienst im Grunde in Ihr VNet eingebunden wird. Es ist nicht mehr erforderlich, Ihr virtuelles Netzwerk im öffentlichen Internet zur Verfügung zu stellen, um Dienste in Azure zu nutzen.
Sie können auch Ihren eigenen Private Link-Dienst in Ihrem virtuellen Netzwerk erstellen. Der Azure Private Link-Dienst ist der Verweis auf Ihren eigenen Dienst, der von Azure Private Link unterstützt wird. Ihr Dienst, der hinter Azure Load Balancer Standard ausgeführt wird, kann für den Zugriff auf Private Link aktiviert werden, sodass die Benutzer Ihres Diensts privat über ihre eigenen virtuellen Netzwerke auf diesen zugreifen können. Ihre Kunden können einen privaten Endpunkt in ihrem virtuellen Netzwerk erstellen und diesem Dienst zuordnen. Es ist nicht mehr erforderlich, Ihren Dienst im öffentlichen Internet zur Verfügung zu stellen, um Dienste in Azure zu rendern.
VPN Gateway
Wenn Sie Netzwerkdatenverkehr zwischen Ihrem Azure Virtual Network und Ihrem lokalen Standort senden möchten, müssen Sie für Ihr Azure Virtual Network ein VPN Gateway erstellen. Ein VPN Gateway ist eine Art von Gateway für virtuelle Netzwerke, mit dem verschlüsselter Datenverkehr über eine öffentliche Verbindung gesendet wird. Sie können VP Gateways auch verwenden, um Datenverkehr zwischen Azure Virtual Networks über das Azure-Netzwerkfabric zu senden.
ExpressRoute
Microsoft Azure ExpressRoute ist ein dedizierter WAN-Link, mit dem Sie Ihre lokalen Netzwerke über eine dedizierte private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, in die Microsoft Cloud erweitern können.
Mit ExpressRoute können Sie Verbindungen mit Microsoft-Clouddiensten herstellen, z. B. Microsoft Azure, Microsoft 365 und CRM Online. Die Konnektivität kann über ein Any-to-Any-Netzwerk (IP VPN), ein Point-to-Point-Ethernet-Netzwerk oder eine virtuelle Querverbindung über einen Konnektivitätsanbieter in einer Co-Location-Einrichtung bereitgestellt werden.
ExpressRoute-Verbindungen verlaufen nicht über das öffentliche Internet und können somit als sicherer angesehen werden als VPN-basierte Lösungen. Auf diese Weise können ExpressRoute-Verbindungen eine höhere Sicherheit, größere Zuverlässigkeit und schnellere Geschwindigkeit bei geringerer Latenz als herkömmliche Verbindungen über das Internet bieten.
Application Gateway
Microsoft Azure Application Gateway verfügt über einen ADC (Application Delivery Controller) als Dienst und damit für Ihre Anwendung über verschiedene Lastenausgleichsfunktionen auf Schicht 7.
Sie können damit die Produktivität von Webfarmen steigern, indem sie die CPU-intensive TLS-Terminierung an das Application Gateway auslagern (auch als „TLS-Auslagerung“ oder „TLS-Bridging“ bekannt). Darüber hinaus werden noch weitere Routingfunktionen der Ebene 7 bereitgestellt. Hierzu zählen etwa die Roundrobin-Verteilung des eingehenden Datenverkehrs, cookiebasierte Sitzungsaffinität, Routing auf URL-Pfadbasis und die Möglichkeit zum Hosten mehrerer Websites hinter einer einzelnen Application Gateway-Instanz. Azure Application Gateway verwendet einen Load Balancer auf der Schicht 7 (Anwendungsschicht).
Das Application Gateway ermöglicht ein Failover sowie schnelles Routing von HTTP-Anforderungen zwischen verschiedenen Servern in der Cloud und der lokalen Umgebung.
Application Gateway bietet zahlreiche Application Delivery Controller-Funktionen (ADC), u.a. HTTP-Lastenausgleich, cookiebasierte Sitzungsaffinität, TLS-Auslagerung, benutzerdefinierte Integritätstests und Unterstützung für mehrere Websites.
Web Application Firewall
Web Application Firewall ist ein Feature von Azure Application Gateway, das Schutz für Webanwendungen bietet, die Application Gateway für ADC-Standardfunktionen (Application Delivery Control, Steuerung der Anwendungsbereitstellung) nutzen. Web Application Firewall schützt sie vor den nach OWASP 10 häufigsten Web-Sicherheitslücken.
Schutz vor Einschleusung von SQL-Befehlen
Schutz vor allgemeinen Webangriffen wie Befehlseinschleusung, HTTP Request Smuggling, HTTP Response Splitting und Remote File Inclusion
Schutz vor Verletzungen des HTTP-Protokolls
Schutz vor HTTP-Protokollanomalien, z.B. fehlende user-agent- und accept-Header des Hosts
Verhindern von Bots, Crawlern und Scannern
Erkennung häufiger Fehler bei der Anwendungskonfiguration (d. h. Apache, IIS usw.)
Eine zentrale Webanwendungs-Firewall zum Schutz vor Webangriffen vereinfacht die Sicherheitsverwaltung erheblich und verleiht der Anwendung eine bessere Sicherung gegen die Bedrohungen durch Angriffe. Mit einer WAF-Lösung können Sie ebenfalls schneller auf ein Sicherheitsrisiko reagieren, da eine bekannte Schwachstelle an einem zentralen Ort gepatcht wird, statt jede einzelne Webanwendung separat zu sichern. Vorhandene Anwendungsgateways können problemlos in ein Anwendungsgateway mit Web Application Firewall konvertiert werden.
Traffic Manager
Microsoft Azure Traffic Manager ermöglicht die Verteilung von Benutzerdatenverkehr für Dienstendpunkte in unterschiedlichen Rechenzentren. Zu den von Traffic Manager unterstützten Dienstendpunkten zählen virtuelle Azure-Computer, Web-Apps und Clouddienste. Darüber hinaus kann Traffic Manager auch mit externen, Azure-fremden Endpunkten verwendet werden. Traffic Manager verwendet das Domain Name System (DNS), um Clientanforderungen auf der Grundlage einer Datenverkehrsrouting-Methode und der Integrität der Endpunkte an den optimalen Endpunkt weiterzuleiten.
Traffic Manager bietet eine Reihe von Datenverkehrsrouting-Methoden, die verschiedene Anwendungsanforderungen erfüllen und die Überwachung der Integrität von Endpunkten sowie automatisches Failover ermöglichen. Traffic Manager zeichnet sich durch eine geringe Fehleranfälligkeit aus, selbst wenn es zu einem Ausfall einer ganzen Azure-Region kommt.
Azure Load Balancer
Der Azure Load Balancer bietet Hochverfügbarkeit und Netzwerkleistung für Ihre Anwendungen. Es ist ein Layer-4-Lastenausgleichsmodul (TCP, UDP), das eingehenden Datenverkehr auf funktionierende Dienstinstanzen verteilt, die in einer Lastenausgleichsgruppe definiert sind. Azure Load Balancer kann für Folgendes konfiguriert werden:
Lastenausgleich des eingehenden Internetdatenverkehrs für virtuelle Computer. Diese Konfiguration wird als öffentlicher Lastenausgleich bezeichnet.
Lastenausgleich für Datenverkehr zwischen virtuellen Computern in einem virtuellen Netzwerk, zwischen virtuellen Computern in Clouddiensten oder zwischen lokalen und virtuellen Computern in einem standortübergreifenden virtuellen Netzwerk. Diese Konfiguration wird als interner Lastenausgleichbezeichnet.
Weiterleiten von externem Datenverkehr an eine bestimmte Instanz eines virtuellen Computers
Internes DNS
Sie können die Liste der in einem VNet verwendeten DNS-Server im Verwaltungsportal oder mithilfe der Netzwerkkonfigurationsdatei verwalten. Kunden können bis zu 12 DNS-Server für jedes VNet hinzufügen. Beim Angeben von DNS-Servern müssen Sie darauf achten, dass Sie die DNS-Server des Kunden in der richtigen Reihenfolge für dessen Umgebung auflisten. DNS-Serverlisten werden nicht per Roundrobin verarbeitet. Die DNS-Server werden in der Reihenfolge verwendet, in der sie angegeben sind. Wenn der erste DNS-Server in der Liste erreicht werden kann, verwendet der Client diesen DNS-Server unabhängig davon, ob der DNS-Server ordnungsgemäß funktioniert. Um die Reihenfolge der DNS-Server für das virtuelle Netzwerk des Kunden zu ändern, entfernen Sie die DNS-Server aus der Liste, und fügen Sie sie in der vom Kunden gewünschten Reihenfolge wieder hinzu. DNS unterstützt den Verfügbarkeitsaspekt der drei Sicherheitsbereiche „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.
Azure DNS
Das Domain Name System (DNS) ist für die Übersetzung (oder Auflösung) eines Website- oder Dienstnamens in die IP-Adresse verantwortlich. Azure DNS ist ein Hostingdienst für DNS-Domänen, der die Namensauflösung mithilfe der Microsoft Azure-Infrastruktur durchführt. Durch das Hosten Ihrer Domänen in Azure können Sie Ihre DNS-Einträge mithilfe der gleichen Anmeldeinformationen, APIs, Tools und Abrechnung wie für die anderen Azure-Dienste verwalten. DNS unterstützt den Verfügbarkeitsaspekt der drei Sicherheitsbereiche „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.
Netzwerksicherheitsgruppen in Azure Monitor-Protokolle
Sie können die folgenden Diagnoseprotokoll-Kategorien für Netzwerksicherheitsgruppen aktivieren:
Ereignis: Enthält Einträge, für die anhand der MAC-Adresse NSG-Regeln auf virtuelle Computer und Instanzrollen angewendet werden. Der Status für diese Regeln wird alle 60 Sekunden erfasst.
Regelzähler: Enthält Einträge darüber, wie oft jede NSG-Regel angewendet wurde, um Datenverkehr zuzulassen oder zu verweigern.
Microsoft Defender für Cloud
Microsoft Defender für Cloud analysiert ständig den Sicherheitsstatus Ihrer Azure-Ressourcen anhand bewährter Methoden für Netzwerksicherheit. Werden potenzielle Sicherheitslücken erkannt, erstellt Defender für Cloud Empfehlungen, die Sie beim Konfigurieren der erforderlichen Steuerelemente zum Schutz Ihrer Ressourcen unterstützen.
Compute
Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features in diesem Bereich und zusammenfassende Informationen zu diesen Funktionen.
Azure Confidential Computing
Azure Confidential Computing stellt den letzten, fehlenden Bestandteil beim Datenschutzvorhaben dar. Mit dem Programm können Sie Ihre Daten jederzeit verschlüsselt halten. Dabei ist es egal, ob sie ruhend sind, über das Netzwerk übertragen werden oder schon im Arbeitsspeicher geladen sind und genutzt werden. Darüber hinaus können Sie durch den Remotenachweis kryptografisch überprüfen, ob der von Ihnen bereitgestellte virtuelle Computer sicher gestartet und ordnungsgemäß konfiguriert wurde, bevor Sie Ihre Daten entsperren.
Das Spektrum der Optionen reicht von der Aktivierung von „Lift and Shift“-Szenarios bei vorhandenen Anwendungen bis hin zu einer vollständigen Kontrolle über die verschiedenen Sicherheitsfeatures. Für Infrastructure-as-a-Service (IaaS) können Sie vertrauliche virtuelle Computer (unterstützt von AMD SEV-SNP) oder vertrauliche Anwendungsenclaves für virtuelle Computer verwenden, auf denen Intel Software Guard Extensions (SGX) ausgeführt wird. Für Platform-as-a-Service verfügen wir über mehrere containerbasierte Optionen, einschließlich Integrationen mit Azure Kubernetes Service (AKS).
Antischadsoftware und Antivirus
Mit Azure IaaS können Sie zum Schützen der virtuellen Computer vor Dateien mit schädlichem Inhalt, Adware und anderen Bedrohungen Antischadsoftware von Anbietern wie Microsoft, Symantec, Trend Micro, McAfee und Kaspersky verwenden. Microsoft Antimalware for Azure Cloud Services and Virtual Machines ist eine Echtzeit-Schutzfunktion zum Bestimmen und Entfernen von Viren, Spyware und anderer Schadsoftware. Microsoft Antimalware gibt konfigurierbare Warnungen aus, wenn bekannte schädliche oder unerwünschte Software versucht, sich selbst auf Ihren Azure-Systemen zu installieren oder dort auszuführen. Microsoft Antimalware kann auch mit Microsoft Defender für Cloud bereitgestellt werden.
Hardwaresicherheitsmodul
Verschlüsselung und Authentifizierung verbessern die Sicherheit erst dann, wenn die Schlüssel selbst geschützt sind. Sie können die Verwaltung und Sicherheit Ihrer geschäftskritischen geheimen Daten und Schlüssel vereinfachen, indem Sie diese in Azure Key Vault speichern. Key Vault bietet die Möglichkeit, Ihre Schlüssel in Hardware-Sicherheitsmodulen (HSMs) zu speichern, die nach den FIPS 140-validierten Standards zertifiziert sind. Sie können Ihre SQL Server-Verschlüsselungsschlüssel für Sicherungen oder transparente Datenverschlüsselung gemeinsam mit den Schlüsseln oder geheimen Daten Ihrer Anwendungen in Key Vault speichern. Die Berechtigungen für und der Zugriff auf diese geschützten Elemente werden über Microsoft Entra ID verwaltet.
Sicherung virtueller Computer
Azure Backup ist eine Lösung, die Ihre Anwendungsdaten schützt – ganz ohne Investitionskosten und mit sehr niedrigen Betriebskosten. Anwendungsfehler können Ihre Daten beschädigen, und menschliche Fehler können Bugs in Ihren Anwendungen verursachen, die zu Sicherheitsproblemen führen können. Mit Azure Backup sind Ihre virtuellen Windows- und Linux-Computer geschützt.
Azure Site Recovery
Ein wichtiger Teil der BCDR-Strategie (Geschäftskontinuität/Notfallwiederherstellung) Ihrer Organisation ist die Ermittlung, wie geschäftliche Workloads und Apps verfügbar gehalten werden können, wenn geplante und ungeplante Ausfälle auftreten. Azure Site Recovery unterstützt die Orchestrierung von Replikation, Failover und Wiederherstellung von Workloads und Apps, damit diese Komponenten über einen sekundären Standort zur Verfügung stehen, wenn der primäre Standort ausfällt.
SQL VM TDE
Transparent Data Encryption (TDE) und Column Level Encryption (CLE) sind SQL Server-Verschlüsselungsfeatures. Bei dieser Art der Verschlüsselung müssen Kunden die kryptografischen Schlüssel verwalten und speichern, die Sie für die Verschlüsselung verwenden.
Der Azure-Schlüsseltresor-Dienst (Azure Key Vault, AKV) ist dafür ausgelegt, die Sicherheit und Verwaltung dieser Schlüssel an einem sicheren und hoch verfügbaren Speicherort zu verbessern. Mit dem SQL Server-Connector kann SQL Server diese Schlüssel aus Azure Key Vault verwenden.
Wenn Sie SQL Server mit lokalen Computern ausführen, können Sie die Schritte zum Zugreifen auf den Azure Key Vault von Ihrer lokalen SQL Server-Instanz ausführen. Sie können für SQL Server auf virtuellen Azure-Computern aber Zeit sparen, indem Sie die Funktion für die Azure-Schlüsseltresor-Integration verwenden. Mit einigen Azure PowerShell-Cmdlets zum Aktivieren dieser Funktion können Sie die Konfiguration automatisieren, die ein virtueller SQL-Computer zum Zugreifen auf Ihren Schlüsseltresor benötigt.
Datenträgerverschlüsselung für virtuelle Computer
Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für Windows-VMs unterstützen Sie beim Verschlüsseln der Datenträger Ihrer virtuellen IaaS-Computer. Diese Funktion verwendet das Branchen-Standardfeature BitLocker von Windows und das Feature DM-Crypt von Linux, um Volumeverschlüsselung für das Betriebssystem und die Datenträger bereitzustellen. Die Lösung ist in Azure Key Vault integriert, damit Sie die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement steuern und verwalten können. Diese Lösung stellt außerdem sicher, dass alle ruhenden Daten auf den Datenträgern der virtuellen Computer in Azure Storage verschlüsselt sind.
Virtuelle Netzwerke
Virtuelle Computer benötigen Netzwerkkonnektivität. Azure erfordert von einem virtuellen Computer eine Verbindung mit einem virtuellen Azure-Netzwerk, damit die Konnektivitätsanforderung unterstützt wird. Ein virtuelles Azure-Netzwerk ist ein logisches Konstrukt, das auf dem physischen Azure-Netzwerkfabric basiert. Jedes logische Azure Virtual Network ist von allen anderen virtuellen Azure-Netzwerken isoliert. Diese Isolation hilft bei der Sicherstellung, dass der Netzwerkdatenverkehr in Ihren Bereitstellungen nicht für andere Microsoft Azure-Kunden zugänglich ist.
Patch-Updates
Patch-Updates bilden die Grundlage zum Ermitteln und Beheben potenzieller Probleme und zur Vereinfachung des Verwaltungsprozesses von Softwareupdates. Beides wird dadurch erreicht, dass einerseits die Anzahl von Softwareupdates verringert wird, die Sie in Ihrem Unternehmen bereitstellen müssen, und andererseits die Möglichkeiten verbessert werden, die Einhaltung der Vorgaben zu überwachen.
Verwaltung von Sicherheitsrichtlinien und Berichtserstellung
Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen und verschafft Ihnen mehr Transparenz und somit eine bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements, hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum an Sicherheitslösungen verwendet werden.
Identitäts- und Zugriffsverwaltung
Das Schützen von Systemen, Anwendungen und Daten beginnt mit der identitätsbasierten Zugriffssteuerung. Die Features zur Identitäts- und Zugriffsverwaltung, die in Microsoft Business-Produkten und -Diensten integriert sind, unterstützen Sie beim Schützen Ihrer organisationsbezogenen und privaten Informationen vor nicht autorisiertem Zugriff, während sie für berechtigte Benutzer jederzeit und überall verfügbar sind.
Schützen der Identität
Microsoft verwendet mehrere Sicherheitsmaßnahmen und -technologien für seine Produkte und Dienste für die Identitäts- und Zugriffsverwaltung.
Multi-Factor Authentication erfordert, dass Benutzer mehrere Zugriffsmethoden (lokal und in der Cloud) verwenden. Mit einer Reihe einfacher Verifizierungsoptionen wird für eine leistungsstarke Authentifizierung gesorgt und gleichzeitig die Benutzeranforderungen an einen einfachen Anmeldeprozess erfüllt.
Microsoft Authenticator bietet eine benutzerfreundliche Erfahrung für die Multi-Faktor-Authentifizierung, die sowohl mit Microsoft Entra ID als auch mit Microsoft-Konten funktioniert und die Unterstützung für Wearables und fingerabdruckbasierende Genehmigungen enthält.
Erzwingung der Kennwortrichtlinie erhöht die Sicherheit herkömmlicher Kennwörter, indem Anforderungen hinsichtlich Länge und Komplexität sowie eine regelmäßige erzwungene Rotation und Kontosperrungen nach fehlgeschlagenen Authentifizierungsversuchen durchgesetzt werden.
Die tokenbasierte Authentifizierung ermöglicht die Authentifizierung über Microsoft Entra ID.
Die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) ermöglicht es Ihnen, den Zugriff auf Grundlage einer zugewiesenen Benutzerrolle zu gewähren. Dies erleichtert es Ihnen, Benutzern nur den zum Ausführen ihrer Aufgaben erforderlichen Zugriff zu erteilen. Sie können Azure RBAC gemäß dem Geschäftsmodell und der Risikotoleranz Ihrer Organisation anpassen.
Integrierte Identitätsverwaltung (Hybrididentität) ermöglicht es Ihnen, den Benutzerzugriff auf interne Rechenzentren und Cloudplattformen zu kontrollieren, indem Sie eine einzelne Benutzeridentität für die Authentifizierung und Autorisierung für alle Ressourcen erstellen.
Schützen von Apps und Daten
Microsoft Entra ID ist eine umfassende Cloudlösung zur Identitäts- und Zugriffsverwaltung und unterstützt Sie beim Sichern des Zugriffs auf Daten in lokalen Anwendungen und in der Cloud und vereinfacht die Verwaltung von Benutzern und Gruppen. Es kombiniert wesentliche Verzeichnisdienste, erweiterte Identitätskontrolle, Sicherheit und Anwendungszugriffsverwaltung und gestaltet es für Entwickler einfach, eine richtlinienbasierte Identitätsverwaltung in ihre Apps zu integrieren. Um Ihre Microsoft Entra ID-Erfahrung zu verbessern, können Sie kostenpflichtige Funktionen mithilfe der Editionen Microsoft Entra Basic, Premium P1 und Premium P2 hinzufügen.
Cloud App Discovery ist ein Premium-Feature von Microsoft Entra ID, mit dem Sie Cloudanwendungen identifizieren können, die von den Mitarbeitern in Ihrer Organisation verwendet werden.
Microsoft Entra ID-Schutz ist ein Sicherheitsdienst, der die Funktionen von Microsoft Entra ID zur Erkennung von Anomalien verwendet, um eine konsolidierte Ansicht zu Risikoerkennungen und potenziellen Sicherheitslücken zu bieten, die sich auf die Identitäten Ihrer Organisation auswirken könnten.
Mit Microsoft Entra Domain Services können Sie Azure-VMs in eine Domäne einbinden, ohne Domänencontroller bereitstellen zu müssen. Die Benutzer melden sich mit den Active Directory-Anmeldeinformationen ihres Unternehmens an diesen virtuellen Computern an und können nahtlos auf Ressourcen zugreifen.
Azure Active Directory B2C ist ein hoch verfügbarer, globaler Identitätsverwaltungsdienst für kundenorientierte Apps, der für Hunderte Millionen von Identitäten skaliert und plattformübergreifend (mobil und Web) integriert werden kann. Ihre Kunden können sich über anpassbare Benutzeroberflächen, die vorhandene Konten für soziale Netzwerke verwenden, bei all Ihren Apps anmelden. Sie können aber auch neue eigenständige Anmeldeinformationen erstellen.
Die Microsoft Entra B2B Collaboration ist eine sichere Lösung zur Partnerintegration, die Partnern den gezielten Zugriff auf Ihre Unternehmensanwendungen und Unternehmensdaten über ihre selbstverwalteten Identitäten ermöglicht und so Ihre unternehmensübergreifenden Beziehungen unterstützt.
In Microsoft Entra eingebunden ermöglicht Ihnen das Erweitern von Cloudfunktionen auf Windows 10-Geräte für die zentrale Verwaltung. Dadurch erhalten Benutzer die Möglichkeit, über Microsoft Entra ID eine Verbindung mit der Cloud des Unternehmens oder der Organisation herzustellen, und der Zugriff auf Apps und Ressourcen wird vereinfacht.
Der Microsoft Entra-Anwendungsproxy ermöglicht das einmalige Anmelden (SSO) und den sicheren Remotezugriff für lokal gehostete Webanwendungen.
Nächste Schritte
Informieren Sie sich über die gemeinsame Verantwortung in der Cloud.
Hier erfahren Sie, wie Microsoft Defender für Cloud Ihnen dabei hilft, Bedrohungen zu verhindern, zu erkennen und auf sie zu reagieren, indem Sie die Sicherheit Ihrer Azure-Ressourcen besser einsehen und somit besser kontrollieren können.