Virtuelle Azure-Computer – Sicherheitsübersicht
Dieser Artikel bietet eine Übersicht über die wichtigsten Sicherheitsfunktionen von Azure, die mit virtuellen Computern verwendet werden können.
Mit Azure Virtual Machines können Sie sehr flexibel eine Vielzahl unterschiedlicher Computinglösungen bereitstellen. Der Dienst unterstützt Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP und Azure BizTalk Services. Daher können Sie jede Workload und jede Sprache für nahezu alle Betriebssysteme bereitstellen.
Ein virtueller Azure-Computer bietet Ihnen die Flexibilität der Virtualisierung, ohne Zeit und Geld für den Kauf und das Verwalten der Hardware aufwenden zu müssen, die den virtuellen Computer hostet. Sie können Ihre Anwendungen in der Gewissheit erstellen und bereitstellen, dass Ihre Daten in hochsicheren Datencentern geschützt und abgesichert sind.
Mit Azure können Sie richtlinienkonforme Lösungen mit erweiterter Sicherheit erstellen, die:
- Ihre virtuellen Computer vor Viren und Schadsoftware schützen.
- Ihre sensiblen Daten verschlüsseln.
- Netzwerkdatenverkehr absichern.
- Bedrohungen erkennen.
- Konformitätsvorgaben einhalten.
Antimalware
Mit Azure können Sie Antischadsoftware von Sicherheitsanbietern wie Microsoft, Symantec, Trend Micro und Kaspersky verwenden. Diese Software dient dem Schutz Ihrer virtuellen Computer vor Dateien mit schädlichem Inhalt, Adware und anderen Bedrohungen.
Microsoft Antimalware for Azure Cloud Services and Virtual Machines ist eine Echtzeit-Schutzfunktion zum Bestimmen und Entfernen von Viren, Spyware und anderer Schadsoftware. Microsoft Antimalware für Azure gibt konfigurierbare Warnungen aus, wenn bekannte schädliche oder unerwünschte Software versucht, sich selbst auf Ihren Azure-Systemen zu installieren oder dort auszuführen.
Microsoft Antimalware für Azure ist eine Lösung mit einem einzelnen Agent für Anwendungen und Mandantenumgebungen, die im Hintergrund ohne Eingreifen des Benutzers ausgeführt wird. Sie können Schutz basierend auf den Anforderungen der Anwendungsworkloads bereitstellen, entweder mit der einfachen Konfiguration, die Schutz durch die Standardeinstellungen bietet, oder mit einer erweiterten benutzerdefinierten Konfiguration, einschließlich Antischadsoftwareüberwachung.
Erfahren Sie mehr über Microsoft Antimalware für Azure und die verfügbaren Kernfunktionen.
Weitere Informationen zu Antischadsoftware zum Schutz Ihrer virtuellen Computer:
- Deploying Antimalware Solutions on Azure Virtual Machines (Bereitstellen von Antischadsoftware-Lösungen auf virtuellen Azure-Computern, in englischer Sprache)
- Installieren und Konfigurieren von Trend Micro Deep Security als Dienst auf einem virtuellen Windows-Computer
- Willkommen im Azure Marketplace
Für einen noch leistungsfähigeren Schutz sollten Sie Microsoft Defender for Endpoint verwenden. Mit Defender for Endpoint erhalten Sie Folgendes:
- Reduzierung der Angriffsfläche
- Schutz der nächsten Generation
- Endpoint Protection und Antwort
- Automatisierte Untersuchung und Wartung
- Sicherheitsbewertung
- Erweiterte Erkennung
- Verwaltung und APIs
- Microsoft Threat Protection
Weitere Informationen: Erste Schritte mit Microsoft Defender for Endpoint
Hardwaresicherheitsmodul
Verschlüsselungs- und Authentifizierungsschutzmaßnahmen können durch eine höhere Sicherheit verbessert werden. Sie können die Verwaltung und Sicherheit Ihrer geschäftskritischen geheimen Daten und Schlüssel vereinfachen, indem Sie diese in Azure Key Vault speichern.
Key Vault bietet die Möglichkeit, Ihre Schlüssel in Hardwaresicherheitsmodulen (HSMs) zu speichern, die für FIPS 140-validierten Standards zertifiziert sind. Sie können Ihre SQL Server-Verschlüsselungsschlüssel für Sicherungen oder transparente Datenverschlüsselung gemeinsam mit den Schlüsseln oder geheimen Daten Ihrer Anwendungen in Key Vault speichern. Der Zugriff auf diese geschützten Elemente sowie die zugehörigen Berechtigungen werden über Microsoft Entra IDverwaltet.
Weitere Informationen:
Verschlüsselung der Datenträger virtueller Computer
Azure Disk Encryption ist eine neue Funktion zur Verschlüsselung der Datenträger virtueller Windows- und Linux-Computer. Azure Disk Encryption verwendet das Branchenstandardfeature BitLocker von Windows und das Feature dm-crypt von Linux, um Volumeverschlüsselung für das Betriebssystem und die Datenträger bereitzustellen.
Die Lösung ist in Azure Key Vault integriert, damit Sie die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement steuern und verwalten können. Sie stellt außerdem sicher, dass alle ruhenden Daten auf den Datenträgern der virtuellen Computer in Azure Storage verschlüsselt sind.
Weitere Informationen:
- Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für Windows-VMs
- Schnellstart: Verschlüsseln eines virtuellen Linux-IaaS-Computers mit Azure PowerShell
Sicherung virtueller Computer
Azure Backup ist eine skalierbare Lösung, die Ihre Anwendungsdaten schützt – ganz ohne Investitionskosten und mit sehr niedrigen Betriebskosten. Anwendungsfehler können Ihre Daten beschädigen, und menschliche Fehler können Bugs in Ihren Anwendungen verursachen. Mit Azure Backup sind Ihre virtuellen Windows- und Linux-Computer geschützt.
Weitere Informationen:
Azure Site Recovery
Ein wichtiger Teil der BCDR-Strategie Ihrer Organisation ist die Ermittlung, wie geschäftliche Workloads und Apps verfügbar gehalten werden können, wenn geplante und ungeplante Ausfälle auftreten. Azure Site Recovery unterstützt die Orchestrierung von Replikation, Failover und Wiederherstellung von Workloads und Apps, damit diese Komponenten über einen sekundären Standort zur Verfügung stehen, wenn der primäre Standort ausfällt.
Site Recovery:
- Vereinfachung Ihrer BCDR-Strategie: Site Recovery vereinfacht die Replikation, das Failover und die Wiederherstellung mehrerer Geschäftsworkloads und -Apps von einem einzelnen Standort. Site Recovery orchestriert die Replikation und das Failover, aber das Tool fängt keine Anwendungsdaten ab und besitzt auch keinerlei Informationen hierzu.
- Ermöglicht flexible Replikation: Mithilfe von Site Recovery können Sie Workloads auf virtuellen Hyper-V-Computern, virtuellen VMware-Computern und physischen Windows-/Linux-Servern replizieren.
- Einfaches Failover und leichte Wiederherstellung werden unterstützt: Site Recovery verfügt über Testfailover, mit denen Übungen zur Notfallwiederherstellung unterstützt werden, ohne dass sich dies auf Produktionsumgebungen auswirkt. Außerdem können Sie geplante Failover ohne Datenverlust für erwartete Ausfälle oder ungeplante Failover mit minimalem Datenverlust (je nach Replikationsfrequenz) für unerwartete Notfälle ausführen. Nach dem Failover können Sie ein Failback zu Ihren primären Standorten durchführen. Site Recovery verfügt über Wiederherstellungspläne, die Skripts und Azure Automation-Arbeitsmappen enthalten können, sodass Sie das Failover und die Wiederherstellung mehrinstanzenfähiger Anwendungen anpassen können.
- Beseitigung sekundärer Datencenter: Sie können Daten an einem sekundären lokalen Standort oder in Azure replizieren. Wenn Sie Azure als Ziel für die Notfallwiederherstellung nutzen, vermeiden Sie die Kosten und Komplexität, die mit der Verwaltung eines sekundären Standorts verbunden sind. Replizierte Daten werden in Azure Storage gespeichert.
- Integration in vorhandene BCDR-Technologien: Site Recovery wird zusammen mit den BCDR-Features anderer Anwendungen eingesetzt. Beispielsweise können Sie Site Recovery verwenden, um das SQL Server-Back-End von geschäftlichen Workloads zu schützen. Dies umfasst auch die native Unterstützung für SQL Server Always On zum Verwalten des Failovers von Verfügbarkeitsgruppen.
Weitere Informationen:
- Was ist Azure Site Recovery?
- Wie funktioniert Azure Site Recovery?
- Welche Workloads werden durch Azure Site Recovery geschützt?
Virtuelle Netzwerke
Virtuelle Computer benötigen Netzwerkkonnektivität. Azure erfordert von einem virtuellen Computer eine Verbindung mit einem virtuellen Azure-Netzwerk, damit die Konnektivitätsanforderung unterstützt wird.
Ein virtuelles Azure-Netzwerk ist ein logisches Konstrukt, das auf dem physischen Azure-Netzwerkfabric basiert. Jedes logische virtuelle Azure-Netzwerk ist von allen anderen virtuellen Azure-Netzwerken isoliert. Diese Isolation hilft bei der Sicherstellung, dass der Netzwerkdatenverkehr in Ihren Bereitstellungen nicht für andere Microsoft Azure-Kunden zugänglich ist.
Weitere Informationen:
- Die Netzwerksicherheit in Azure in der Übersicht
- Virtuelle Netzwerke im Überblick
- Netzwerkfeatures und Partnerschaften für Enterpriseszenarien
Verwaltung von Sicherheitsrichtlinien und Berichtserstellung
Microsoft Defender für Cloud hilft Ihnen dabei, Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren. Defender für Cloud bietet Ihnen mehr Transparenz und Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet eine integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements. Es hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum von Sicherheitslösungen verwendet werden.
Defender für Cloud unterstützt Sie bei der Optimierung und Überwachung der Sicherheit Ihrer virtuellen Geräte durch:
- Bereitstellen von Sicherheitsempfehlungen für die virtuellen Computer. Empfehlungen beziehen sich beispielsweise auf das Anwenden von Systemupdates, das Konfigurieren von ACL-Endpunkten, das Aktivieren von Antischadsoftware, das Aktivieren von Netzwerksicherheitsgruppen und das Anwenden der Datenträgerverschlüsselung.
- Überwachen des Status Ihrer virtuellen Computer.
Weitere Informationen:
- Einführung in Microsoft Defender für Cloud
- Häufig gestellte Fragen zu Microsoft Defender für Cloud
- Microsoft Defender für Cloud: Planung und Betrieb
Compliance
Azure Virtual Machines ist für FISMA, FedRAMP, HIPAA, PCI DSS Level 1 und andere Complianceprogramme zertifiziert. So können Sie auch mit Ihren eigenen Azure-Anwendungen die verschiedenen Complianceanforderungen besser erfüllen, und Ihr Unternehmen kann sicherstellen, dass diverse nationale und internationale rechtliche Vorgaben eingehalten werden.
Weitere Informationen:
- Microsoft Trust Center: Compliance.
- Die vertrauenswürdige Cloud: Sicherheit, Datenschutz und Compliance von Microsoft Azure
Confidential Computing
Confidential Computing gehört technisch betrachtet zwar nicht zum Thema „Sicherheit virtueller Computer“, doch die Sicherheit von VMs ist Teil des übergeordneten Themas Computesicherheit. Confidential Computing fällt in die Kategorie der Computesicherheit.
Confidential Computing stellt sicher, dass Daten im unverschlüsselten Zustand, der zur effizienten Verarbeitung erforderlich ist, in einer Trusted Execution Environment https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE, auch Enclave) geschützt werden. Ein Beispiel finden Sie in der Abbildung unten.
Wenn Sie TEEs verwenden, können externe Benutzer interne Daten und Vorgänge auch nicht mit einem Debugger anzeigen. TEEs gewährleisten sogar, dass nur autorisierter Code für den Zugriff auf Daten zugelassen wird. Wenn der Code geändert oder manipuliert wird, werden die Vorgänge verweigert, und die Umgebung wird deaktiviert. Die TEE erzwingt diese Schutzmaßnahmen, während der Code in der Umgebung ausgeführt wird.
Weitere Informationen:
Nächste Schritte
Informationen zu bewährten Sicherheitsmethoden für VMs und Betriebssysteme.