Erstellen der ersten Verteidigungsebene mit Azure-Sicherheitsdiensten

Sie können eine gesamte IT-Infrastruktur erstellen, um Ihre Organisation mithilfe verschiedener Azure-Dienste auszuführen. Azure bietet auch Sicherheitsdienste, um Ihre Infrastruktur zu schützen. Mithilfe von Azure-Sicherheitsdiensten können Sie den Sicherheitsstatus Ihrer IT-Umgebung verbessern. Sie können Sicherheitsrisiken mindern und Verstöße vermeiden, indem Sie eine gut erstellte Lösung implementieren, die Empfehlungen von Microsoft folgt.

Einige Sicherheitsdienste verursachen Gebühren, während andere keine zusätzlichen Gebühren haben. Kostenlose Dienste umfassen Netzwerksicherheitsgruppen (NSGs), Speicherverschlüsselung, TLS/SSL, Signaturtoken für freigegebenen Zugriff und viele andere. In diesem Artikel werden solche Dienste behandelt.

Dieser Artikel ist der dritte in einer Reihe von fünf. Informationen zu den vorherigen beiden Artikeln dieser Reihe, einschließlich der Einführung und einer Überprüfung, wie Sie Bedrohungen gegen eine IT-Umgebung zuordnen können, finden Sie in den folgenden Artikeln:

• Verwenden der Azure-Überwachung zur Integration von Sicherheitskomponenten
• Zuordnen von Bedrohungen zu Ihrer IT-Umgebung

Mögliche Anwendungsfälle

In diesem Artikel werden Azure-Sicherheitsdienste gemäß jedem Azure-Dienst vorgestellt. Auf diese Weise können Sie an eine spezifische Bedrohung einer Ressource denken – ein virtueller Computer (VM), ein Betriebssystem, ein Azure-Netzwerk, eine Anwendung – oder an einen Angriff, der Benutzer und Passwörter gefährden könnte. Verwenden Sie dann das Diagramm in diesem Artikel, um zu verstehen, welche Azure-Sicherheitsdienste verwendet werden sollen, um Ressourcen und Benutzeridentitäten vor dieser Art von Bedrohung zu schützen.

Architektur

Laden Sie eine Visio-Datei dieser Architektur herunter.

©2021 The MITRE Corporation. Diese Arbeit wird reproduziert und mit der Erlaubnis der MITRE Corporation verteilt.

Die Azure-Sicherheitsebene in diesem Diagramm basiert auf Azure Security Benchmark (ASB) v3, die eine Reihe von Sicherheitsregeln ist, die über Azure-Richtlinien implementiert werden. ASB basiert auf einer Kombination aus Regeln aus dem CIS Center für Internetsicherheit und dem Nationalen Institut für Standards und Technologie. Weitere Informationen zu ASB finden Sie in der Übersicht über den Azure Security Benchmark v3.

Das Diagramm enthält nicht alle verfügbaren Azure-Sicherheitsdienste, sondern zeigt die Sicherheitsdienste an, die am häufigsten von Organisationen verwendet werden. Alle sicherheitsrelevanten Dienste, die im Architekturdiagramm identifiziert werden, können in jeder Kombination entsprechend Ihren IT-Umgebungen und den Sicherheitsanforderungen Ihrer Organisation zusammenarbeiten.

Workflow

In diesem Abschnitt werden die Komponenten und Dienste beschrieben, die im Diagramm angezeigt werden. Viele dieser Bezeichnungen werden zusätzlich zu ihren gekürzten Bezeichnungen mit ihren ASB-Steuerelementcodes gekennzeichnet. Die Steuerelementcodes entsprechen den Steuerelementdomänen, die in Steuerelemente aufgeführt sind.

1. VERGLEICHSTEST FÜR DIE AZURE-SICHERHEIT

   Jedes Sicherheitssteuerelement bezieht sich auf einen oder mehrere spezifische Azure-Sicherheitsdienste. Der Architekturverweis in diesem Artikel enthält einige dieser Elemente und ihre Kontrollnummern gemäß der ASB-Dokumentation. Zu den Steuerelementen gehören:

   • Netzwerksicherheit
   • Identitätsverwaltung
   • Privilegierter Zugriff
   • Datenschutz
   • Asset-Management
   • Protokollierung und Bedrohungserkennung
   • Reaktion auf Vorfälle
   • Status- und Sicherheitsrisikoverwaltung
   • Endpunktsicherheit
   • Sicherung und Wiederherstellung
   • DevOps-Sicherheit
   • Governance und Strategie

   Weitere Informationen zu Sicherheitskontrollen finden Sie in Übersicht über den Vergleichstest für die Azure-Sicherheit.

2. NETZWERK

   In der folgenden Tabelle werden die verschiedenen Netzwerkdienste im Diagramm beschrieben.

   Bezeichnung	BESCHREIBUNG	Dokumentation
   NSG	Ein kostenloser Dienst, den Sie an eine Netzwerkschnittstelle oder ein Subnetz anfügen. Mit einer NSG können Sie TCP- oder UDP-Protokolldatenverkehr mithilfe von IP-Adressbereichen und Ports für eingehende und ausgehende Verbindungen filtern.	Netzwerksicherheitsgruppen
   VPN	Ein VPN-Gateway (Virtual Private Network), das einen Tunnel mit IPSEC -Schutz (IKE v1/v2) bereitstellt.	VPN Gateway
   AZURE FIREWALL	Eine Plattform als Dienst (PaaS), die Schutz in Layer 4 bereitstellt und an ein gesamtes virtuelles Netzwerk angeschlossen ist.	Was ist Azure Firewall?
   APP GW + WAF	Azure Application Gateway mit Web Application Firewall (WAF) Application Gateway ist ein Lastenausgleich für Webdatenverkehr, der in Ebene 7 funktioniert, und fügt WAF hinzu, um Anwendungen zu schützen, die HTTP und HTTPS verwenden.	Was ist Azure Application Gateway?
   NVA	Network Virtual Appliance (NVA), ein virtueller Sicherheitsdienst vom Marketplace, der auf virtuellen Computern in Azure bereitgestellt wird.	Virtuelle Netzwerkgeräte:
   DDOS	DDoS-Schutz, der im virtuellen Netzwerk implementiert wurde, um Ihnen bei der Entschärfung verschiedener DDoS-Angriffe zu helfen.	Übersicht über Azure DDoS-Netzwerkschutz
   TLS/SSL	TLS/SSL liefern Verschlüsselung bei den meisten Azure-Diensten, die Informationen austauschen, z. B. Azure Storage und Web-Apps.	Konfigurieren von End-to-End-TLS mit Application Gateway mithilfe von PowerShell
   PRIVATE LINK	Dienst, mit dem Sie ein privates Netzwerk für einen Azure-Dienst erstellen können, der anfänglich im Internet verfügbar gemacht wird.	Was ist Azure Private Link?
   PRIVATER ENDPUNKT.	Erstellt eine Netzwerkschnittstelle und fügt sie an den Azure-Dienst an. Privater Endpunkt ist Teil von Private Link. Mit dieser Konfiguration kann der Dienst mithilfe eines privaten Endpunkts Teil Ihres virtuellen Netzwerks sein.	Was ist ein privater Endpunkt?

3. INFRASTRUKTUR UND ENDPUNKTE

   In der folgenden Tabelle werden Infrastruktur- und Endpunktdienste beschrieben, die im Diagramm angezeigt werden.

   Bezeichnung	BESCHREIBUNG	Dokumentation
   BASTION.	Bastion bietet Sprungserverfunktionen. Mit diesem Dienst können Sie über das Remote-Desktop-Protokoll (RDP) oder SSH auf Ihre VMs zugreifen, ohne sie dem Internet auszusetzen.	Was ist Azure Bastion?
   ANTIMALWARE	Microsoft Defender bietet einen Anti-Malware-Dienst und ist Teil von Windows 10, Windows 11, Windows Server 2016 und Windows Server 2019.	Microsoft Defender Antivirus in Windows
   DATENTRÄGER VERSCHLÜSSELN	Mit der Datenträgerverschlüsselung können Sie den Datenträger einer VM verschlüsseln.	Azure Disk Encryption für Windows-VMs
   KEYVAULT	Key Vault, ein Dienst zum Speichern von Schlüsseln, Geheimen und Zertifikaten mit FIPS 140-2 Ebene 2 oder 3.	Grundlegende Konzepte von Azure Key Vault
   RDP SHORT	Azure Virtual Desktop RDP Shortpath. Mit dieser Funktion können Remotebenutzer über ein privates Netzwerk eine Verbindung mit dem Virtual Desktop-Dienst herstellen.	Azure Virtual Desktop – RDP Shortpath für verwaltete Netzwerke
   REVERSE CONNECT	Eine integrierte Sicherheitsfunktion von Azure Virtual Desktop. Reverse Connect garantiert, dass Remotebenutzer nur Pixeldatenströme erhalten und die Host-VMs nicht erreichen.	Grundlegendes zur Netzwerkkonnektivität für Azure Virtual Desktop

4. ANWENDUNG UND DATEN

   In der folgenden Tabelle werden Anwendungs- und Datendienste beschrieben, die im Diagramm angezeigt werden.

   Bezeichnung	BESCHREIBUNG	Dokumentation
   FRONTDOOR + WAF	Ein Content Delivery Network (CDN). Front Door kombiniert mehrere Präsenzpunkte, um eine bessere Verbindung für Benutzer bereitzustellen, die auf den Dienst zugreifen, und fügt WAF hin.	Was ist Azure Front Door?
   API MANAGEMENT:	Ein Dienst, der Sicherheit für API-Aufrufe bereitstellt und APIs über Umgebungen verwaltet.	Informationen zu API Management
   PENTEST	Eine Reihe bewährter Methoden zum Ausführen eines Penetrationstests in Ihrer Umgebung, einschließlich Azure-Ressourcen.	Penetrationstests
   SPEICHER-SAS-TOKEN	Ein freigegebenes Zugriffstoken, damit andere auf Ihr Azure-Speicherkonto zugreifen können.	Gewähren von eingeschränktem Zugriff auf Azure Storage-Ressourcen mithilfe von SAS (Shared Access Signature)
   PRIVATER ENDPUNKT.	Erstellen Sie eine Netzwerkschnittstelle, und fügen Sie sie an Ihr Speicherkonto an, um sie innerhalb eines privaten Netzwerks in Azure zu konfigurieren.	Verwenden privater Endpunkte für Azure Storage
   STORAGE-FIREWALL	Firewall, mit der Sie einen Bereich von IP-Adressen festlegen können, die auf Ihr Speicherkonto zugreifen können.	Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken
   VERSCHLÜSSELUNG (Azure Storage)	Schützt Ihr Speicherkonto mit der Verschlüsselung für ruhende Daten.	Azure Storage encryption for data at rest (Azure Storage-Verschlüsselung für ruhende Daten)
   SQL-AUDIT	Verfolgt Datenbankereignisse und schreibt diese in ein Überwachungsprotokoll in Ihrem Azure Storage-Konto.	Überwachen von Azure SQL-Datenbank und Azure Synapse Analytics
   SICHERHEITSRISIKOBEWERTUNG	Dienst, der Ihnen hilft, potenzielle Datenbankrisiken zu ermitteln, nachverfolgen und zu beheben.	Ermitteln von Sicherheitsrisiken für die Datenbank mithilfe der SQL-Sicherheitsrisikobewertung
   VERSCHLÜSSELUNG (Azure SQL)	Transparent Data Encryption (TDE) hilft beim Schutz von Azure SQL-Datenbank vor bösartigen Offlineaktivitäten, indem ruhende Daten verschlüsselt werden.	TDE (Transparent Data Encryption) für SQL-Datenbank, SQL Managed Instance und Azure Synapse Analytics

5. IDENTITY

   In der folgenden Tabelle werden Identitätsdienste beschrieben, die im Diagramm angezeigt werden.

   Bezeichnung	BESCHREIBUNG	Dokumentation
   RBAC	Die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) hilft Ihnen beim Verwalten des Zugriffs auf Azure-Dienste mithilfe von detaillierten Berechtigungen, die auf den Microsoft Entra-Anmeldeinformationen der Benutzer*innen basieren.	Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?
   MFA	Multi-Faktor-Authentifizierung bietet zusätzliche Authentifizierungstypen über Benutzernamen und Kennwörter hinaus.	Funktionsweise: Microsoft Entra-Multi-Faktor-Authentifizierung
   ID PROTECTION	Identity Protection, ein Sicherheitsdienst von Microsoft Entra ID, analysiert Billionen von Signalen pro Tag, um Bedrohungen zu identifizieren und Benutzer*innen vor ihnen zu schützen.	Was ist Identity Protection?
   PIM	Privileged Identity Management (PIM), ein Sicherheitsdienst von Microsoft Entra ID. Er hilft Ihnen dabei, Superuser-Berechtigungen vorübergehend für Microsoft Entra ID (z. B. „Globaler Administrator“) und Azure-Abonnements (z. B. „Besitzer“ oder „Mitwirkender“) bereitzustellen.	Was ist Microsoft Entra Privileged Identity Management?
   COND ACC	Bedingter Zugriff ist ein intelligenter Sicherheitsdienst, der Richtlinien verwendet, die Sie für verschiedene Bedingungen zum Blockieren oder Gewähren des Zugriffs auf Benutzer definieren.	Was ist bedingter Zugriff?

Komponenten

Die Beispielarchitektur in diesem Artikel verwendet die folgenden Azure-Komponenten:

• Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst. Mit Microsoft Entra ID können Benutzer*innen auf externe Ressourcen wie Microsoft 365, das Azure-Portal oder Tausende andere SaaS-Anwendungen zugreifen. Es hilft ihnen auch, auf interne Ressourcen zuzugreifen, z. B. auf Anwendungen im Intranet Ihres Unternehmens.

• Azure Virtual Network ist der Grundbaustein für Ihr privates Netzwerk in Azure. Virtual Network ermöglicht zahlreichen Azure-Ressourcen die sichere Kommunikation mit dem Internet und lokalen Netzwerken sowie eine sichere Kommunikation der Ressourcen untereinander. Virtual Network bietet ein virtuelles Netzwerk, das von der Infrastruktur von Azure profitiert, z. B. Skalierung, Verfügbarkeit und Isolation.

• Azure Load Balancer ist ein äußerst leistungsfähiger Lastenausgleichsdienst(eingehend und ausgehend) der Ebene 4 mit niedriger Latenz für alle UDP- und TCP-Protokolle. Er ist für die Verarbeitung von Millionen von Anforderungen pro Sekunde konzipiert und stellt sicher, dass Ihre Lösung hochverfügbar ist. Azure Load Balancer ist zonenredundant und gewährleistet Hochverfügbarkeit über mehrere Verfügbarkeitszonen hinweg.

• Virtuelle Computer ist eine von mehreren bedarfsgesteuerten, skalierbaren Computerressourcen, die von Azure angeboten werden. Mit einem virtuellen Azure-Computer (VM) erhalten Sie eine flexible Virtualisierung, ohne Zeit und Mittel für den Kauf und die Verwaltung der physischen Hardware aufwenden zu müssen, auf der der virtuelle Computer ausgeführt wird.

• Azure Kubernetes Service (AKS) ist ein vollständig verwalteter Kubernetes-Dienst für die Bereitstellung und Verwaltung von containerisierten Anwendungen. AKS bietet serverloses Kubernetes, CI/CD-Funktionen (Continuous Integration/Continuous Delivery) sowie Sicherheit und Governance auf Unternehmensniveau.

• Azure Virtual Desktop ist ein der Cloud ausgeführter Dienst für die Desktop- und App-Virtualisierung.

• App Service-Web-Apps ist ein HTTP-basierter Dienst zum Hosten von Webanwendungen, REST-APIs und mobilen Back-Ends. Sie können in Ihrer bevorzugten Sprache entwickeln und Anwendungen ausführen und skalieren, um sowohl Windows- als auch Linux-basierte Umgebungen zu vereinfachen.

• Azure Storage ist hoch verfügbar, massiv skalierbare, dauerhafte und sichere Speicherung für verschiedene Datenobjekte in der Cloud, einschließlich Objekt, Blob, Datei, Datenträger, Warteschlange und Tabellenspeicher. Alle Daten, die in ein Azure-Speicherkonto geschrieben werden, werden vom Dienst verschlüsselt. Bei Azure Storage können Sie genau steuern, wer Zugriff auf Ihre Daten hat.

• Azure SQL-Datenbank ist eine vollständig verwaltete PaaS-Datenbank-Engine, bei der die meisten Funktionen für die Datenbankverwaltung ohne Benutzereingriff erfolgen, z. B. Upgrades, Patches, Sicherungen und Überwachung. Sie bietet diese Funktionen ohne Benutzerbeteiligung. SQL-Datenbank bietet eine Reihe von integrierten Sicherheits- und Konformitätsfeatures, mit der Sie Ihre Anwendung an Sicherheits- und Konformitätsanforderungen anpassen können.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Rudnei Oliveira | Senior Customer Engineer

Andere Mitwirkende:

• Gary Moore | Programmierer/Autor
• Andrew Nathan | Senior Customer Engineering Manager

Nächste Schritte

Microsoft verfügt über weitere Dokumentationen, die Ihnen dabei helfen können, Ihre IT-Umgebung zu sichern, und die folgenden Artikel können besonders hilfreich sein:

• Sicherheit in Microsoft Cloud Adoption Framework für Azure. Cloud Adoption Framework bietet Sicherheitsleitfäden für Ihre Reise in die Cloud, indem Klarheit für die Prozesse, bewährten Methoden, Modelle und Erfahrungen bereitgestellt wird.
• Microsoft Azure Well-Architected Framework. Das Azure Well-Architected Framework umfasst verschiedene Grundsätze, mit denen die Qualität einer Workload verbessert werden kann. Das Framework basiert auf fünf Säulen: Zuverlässigkeit, Sicherheit, Kostenoptimierung, operative Exzellenz und Leistungseffizienz.
• Bewährte Methoden von Microsoft für die Sicherheit. „Bewährte Methoden für Microsoft-Sicherheit“ (früher bekannt als Azure Security Compass oder Microsoft Security Compass) ist eine Sammlung bewährter Methoden, die klare, umsetzbare Leitfäden für sicherheitsbezogene Entscheidungen bieten.
• Referenzarchitekturen für Microsoft-Cybersicherheit (MCRA). MCRA ist eine Kompilierung verschiedener Microsoft-Sicherheitsreferenzarchitekturen.

In den folgenden Ressourcen finden Sie weitere Informationen zu den Diensten, Technologien und Terminologien, die in diesem Artikel erwähnt werden:

• Was sind öffentliche, private und Hybrid Clouds?
• Übersicht über die Sicherheitsbenchmark für Azure (v3)
• Sicherheit mit Zero Trust proaktiv umsetzen
• Microsoft 365-Abonnementinformationen
• Microsoft Defender XDR

Zugehörige Ressourcen

Weitere Informationen zu dieser Referenzarchitektur finden Sie in den anderen Artikeln in dieser Serie:

• Teil 1: Verwenden der Azure-Überwachung zum Integrieren von Sicherheitskomponenten
• Teil 2: Zuordnen von Bedrohungen zu Ihrer IT-Umgebung
• Teil 4: Erstellen der zweiten Verteidigungsebene mit Microsoft Defender XDR-Sicherheitsdiensten
• Teil 5: Integration zwischen Azure und Microsoft Defender XDR-Sicherheitsdiensten