Azure-Sicherheit – bewährte Methoden

In diesem Artikel werden empfohlene bewährte Methoden für die Sicherheit beschrieben, die auf Erfahrungen von Kunden und aus unseren eigenen Umgebungen basieren.

Eine Videopräsentation finden Sie unter Bewährte Methoden für die Azure-Sicherheit.

1. Personen: Schulen von Teams über den Weg zur Cloudsicherheit

Das Team muss sich darüber im Klaren sein, auf welchem Weg es sich befindet.

Was?

Schulen Sie Ihre Sicherheits- und IT-Teams über die Journey zur Cloudsicherheit und die damit verbundenen Änderungen, einschließlich:

• Bedrohungen in der Cloud
• Modell der gemeinsamen Zuständigkeit und seine Auswirkungen auf die Sicherheit
• Änderungen von Kultur und Rollen und Zuständigkeiten, die in der Regel bei der Cloudeinführung vorkommen

Warum?

Cloudsicherheit erfordert eine Veränderung der Denkweise und Vorgehensweise. Wenngleich sich die Ergebnisse der Sicherheit für die Organisation nicht ändern, kann sich in der Cloud die beste Methode, diese Ergebnisse zu erreichen, erheblich ändern.

Die Umstellung auf die Cloud ist vergleichbar mit dem Umzug von einem Einfamilienhaus in ein Hochhaus. Sie verfügen weiterhin über die grundlegende Infrastruktur (z. B. Wasser und Strom) und führen ähnliche Aktivitäten aus (z. B. Kontaktpflege, Kochen, Fernsehen und Internet). Was das Gebäude bietet, wer es bereitstellt und wartet, und wie sich Ihre tägliche Routine gestaltet, unterscheidet sich allerdings häufig stark.

Wer?

Alle Personen in der Sicherheits- und IT-Organisation mit Sicherheitszuständigkeiten, von CIO/CISO bis zu technischen Experten, müssen mit den Änderungen vertraut sein.

Wie kann ich das erreichen?

Bieten Sie Teams den Kontext, der für eine erfolgreiche Bereitstellung und den Betrieb während des Übergangs zur Cloudumgebung erforderlich ist.

Microsoft hat die folgenden Erkenntnisse veröffentlicht, die Kunden und IT-Organisationen auf ihrem Weg in die Cloud gewonnen haben.

• Entwicklung der Sicherheitsrollen und -verantwortlichkeiten in der Sicherheitsorganisation
• Entwicklung der Bedrohungsumgebung, von Rollen und digitalen Strategien
• Transformation von Sicherheit, Strategien, Tools und Bedrohungen
• Lehren aus den Erfahrungen von Microsoft bei der Sicherung von Hyperscale-Cloudumgebungen

Weitere Informationen finden Sie im Azure Security Benchmark-Abschnitt zu Rollen, Zuständigkeiten und Verantwortlichkeiten.

2. Personen: Schulen der Teams in Cloudsicherheitstechnologie

Personen müssen wissen, welchen Weg sie gehen.

Was?

Stellen Sie sicher, dass Ihren Teams Zeit für technische Schulungen im Zusammenhang mit dem Schutz von Cloudressourcen bleibt, einschließlich:

• Cloudtechnologie und Cloudsicherheitstechnologie
• Empfohlene Konfigurationen und bewährte Methoden
• Möglichkeiten zum Lernen weiterer technischer Details

Warum?

Technische Teams benötigen Zugriff auf technische Informationen, um fundierte Sicherheitsentscheidungen treffen zu können. Technische Teams sind in der Lage, neue Technologien in der Praxis zu erlernen, aber die Menge der Details in der Cloud übersteigt häufig ihre Möglichkeit, das Lernen in ihre tägliche Routine zu integrieren.

Planen Sie explizit Zeit für technisches Lernen ein. Dadurch wird sichergestellt, dass Personen Zeit haben, Vertrauen in ihre Fähigkeit zu gewinnen, die Cloudsicherheit zu bewerten. Außerdem können sie sich überlegen, wie sie ihre vorhandenen Qualifikationen und Prozesse anpassen können.

Wer?

Alle Sicherheits- und IT-Rollen, die direkt mit Cloudtechnologie interagieren, müssen Zeit für technisches Lernen im Zusammenhang mit Cloudplattformen und deren Schutz aufwenden.

Sicherheits- und IT-Manager sowie Projektmanager können sich mit einigen technischen Details zum Schutz von Cloudressourcen vertraut machen. Dadurch können sie Cloudinitiativen effektiver leiten und koordinieren.

Wie kann ich das erreichen?

Stellen Sie sicher, dass technischen Sicherheitsexperten Zeit für eine eigenverantwortliche Schulung zum Schutz von Cloudressourcen zur Verfügung steht. Ermöglichen Sie den Zugang zu formalen Schulungen mit erfahrenen Kursleitern und praktischen Übungseinheiten. (Dies ist allerdings nicht immer realisierbar.)

Wichtig

Identitätsprotokolle sind wichtig für die Zugriffssteuerung in der Cloud, haben jedoch bei der lokalen Sicherheit häufig keine Priorität. Sicherheitsteams müssen sich vorrangig mit diesen Protokollen vertraut machen.

Microsoft bietet umfassende Ressourcen, damit technische Experten ihre Fähigkeiten erweitern können. Diese Ressourcen umfassen Folgendes:

• Azure-Sicherheit
  • AZ-500-Lernpfad und -Zertifizierung
  • Einführung zum Azure Security-Vergleichstest
    • Sicherheitsbaselines für Azure
  • Microsoft Best Practices für Sicherheit
• Azure – Compliance
  • Einhaltung gesetzlicher Bestimmungen
• Identitätsprotokolle und Sicherheit
  • Website mit Dokumentation zur Azure-Sicherheit
  • YouTube-Serie zur Microsoft Entra-Authentifizierung
  • Schützen von Azure-Umgebungen mit Microsoft Entra ID

3. Prozess: Zuweisen von Verantwortlichkeit für Cloudsicherheitsentscheidungen

Sicherheitsentscheidungen werden nicht getroffen, wenn niemand dafür verantwortlich ist.

Was?

Legen Sie fest, wer für die einzelnen Sicherheitsentscheidungen im Zusammenhang mit der Azure-Unternehmensumgebung zuständig ist.

Warum?

Die eindeutige Zuständigkeit für Sicherheitsentscheidungen beschleunigt die Cloudeinführung und erhöht die Sicherheit. Fehlende Verantwortung führt zu Spannungen, weil sich niemand für Entscheidungen zuständig fühlt. Niemand weiß, an wen er sich hinsichtlich einer Entscheidung wenden soll, und niemand ist motiviert, Recherchen für eine fundierte Entscheidung anzustellen. Spannungen beeinträchtigen häufig Folgendes:

• Geschäftsziele
• Entwicklerzeitpläne
• IT-Ziele
• Sicherheitszusicherungen

Mögliche Folgen:

• Stockende Projekte, die auf die Sicherheitsgenehmigung warten
• Unsichere Bereitstellungen, die nicht auf die Sicherheitsgenehmigung warten konnten

Wer?

Die Führungskräfte im Sicherheitsbereich bestimmen, welche Teams oder Einzelpersonen für cloudbezogene Sicherheitsentscheidungen zuständig sind.

Wie kann ich das erreichen?

Legen Sie Gruppen oder Einzelpersonen fest, die für wichtige Sicherheitsentscheidungen zuständig sind.

Dokumentieren Sie diese Verantwortlichen und ihre Kontaktinformationen, und geben Sie sie an die Sicherheits-, IT- und Cloudteams weiter. Dadurch wird sichergestellt, dass sie von allen Rollen problemlos kontaktiert werden können.

Sicherheitsentscheidungen sind in der Regel in diesen Bereichen erforderlich. Die folgende Tabelle enthält die Entscheidungskategorien, die Kategoriebeschreibungen und die Teams, von denen die Entscheidungen häufig getroffen werden.

Entscheidung	BESCHREIBUNG	Typisches Team
Netzwerksicherheit	Konfigurieren und pflegen Sie Azure Firewall, virtuelle Netzwerkgeräten und das zugehörige Routing, Web Application Firewalls (WAFs), NSGs, ASGs usw.	Team für Infrastruktur- und Endpunktsicherheit mit Schwerpunkt Netzwerksicherheit
Netzwerkverwaltung	Verwalten der unternehmensweiten Zuordnung von virtuellen Netzwerken und Subnetzen	Vorhandenes Netzwerkbetriebsteam in der zentralen IT-Abteilung
Serverendpunktsicherheit	Überwachen der Serversicherheit und Behandeln entsprechender Probleme (einschließlich Patching, Konfiguration, Endpunktsicherheit usw.)	Team der zentralen IT-Abteilung und Team für Infrastruktur- und Endpunktsicherheit gemeinsam
Überwachung und Reaktion auf Vorfälle	Untersuchen und Behandeln von Sicherheitsincidents in einer SIEM-Lösung oder der Quellcodekonsole, einschließlich Microsoft Defender for Cloud, Microsoft Entra ID Protection usw.	Team für Sicherheitsvorgänge
Richtlinienverwaltung	Festlegen von Vorgaben für die Verwendung von rollenbasierter Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC), Defender for Cloud, Administratorschutzstrategie und Azure Policy zum Steuern von Azure-Ressourcen	Team für Richtlinien und Standards und Team für die Sicherheitsarchitektur gemeinsam
Identitätssicherheit und -standards	Festlegen von Anweisungen für Microsoft Entra-Verzeichnisse, PIM/PAM-Verwendung, Multi-Faktor-Authentifizierung, Kennwort-/Synchronisierungskonfiguration, Anwendungsidentitätsstandards.	Teams für die Identitäts- und Schlüsselverwaltung, für Richtlinien und Standards und für die Sicherheitsarchitektur gemeinsam

Hinweis

• Stellen Sie sicher, dass Entscheidungsträger in ihrem Bereich der Cloud über die entsprechende Ausbildung verfügen, um dieser Verantwortung gerecht zu werden.
• Stellen Sie sicher, dass Entscheidungen in Richtlinien und Standards dokumentiert werden, um Unterlagen bereitzustellen und die Organisation langfristig zu unterstützen.

4. Prozess: Aktualisieren von Prozessen für die Reaktion auf Vorfälle für die Cloud

Planen Sie vorausschauend. Sie haben mitten in der Krise keine Zeit zur Krisenplanung.

Was?

Bereiten Sie sich auf Sicherheitsincidents in Ihrer Azure-Cloudplattform vor. Diese Vorbereitung umfasst sämtliche nativen Tools zur Bedrohungserkennung, die Sie eingeführt haben. Aktualisieren Sie Prozesse, bereiten Sie das Team vor, und üben Sie mit simulierten Angriffen, um bei der Untersuchung und Behandlung von Incidents sowie bei der Bedrohungssuche optimale Ergebnisse zu erzielen.

Warum?

Aktive Angreifer stellen ein unmittelbares Risiko für die Organisation dar. Es kann schnell schwierig werden, die Situation zu kontrollieren. Reagieren Sie daher schnell und effektiv auf Angriffe. Die Reaktion auf Incidents (IR) muss für Ihre gesamte Infrastruktur einschließlich aller Cloudplattformen, die Unternehmensdaten, Systeme und Konten hosten, wirksam sein.

Cloudplattformen sind lokalen Systemen zwar in vielerlei Hinsicht ähnlich, unterscheiden sich jedoch technisch von ihnen. Lokale Systeme können vorhandene Prozesse unterbrechen – in der Regel, weil Informationen in einer anderen Form verfügbar sind. Sicherheitsanalysten haben möglicherweise Probleme damit, schnell auf eine ungewohnte Umgebung zu reagieren, und werden dadurch ggf. ausgebremst. Das gilt insbesondere, wenn sie nur für klassische lokale Architekturen und Netzwerk-/Datenträgerforensik geschult wurden.

Wer?

Die IR-Prozessmodernisierung wird in der Regel vom Team für Sicherheitsvorgänge geleitet. Dabei wird es häufig von anderen Gruppen mit Know-how und Fachwissen unterstützt.

• Sponsoring: Die Prozessmodernisierung wird in der Regel vom Direktor für Sicherheitsvorgänge oder einer entsprechenden Person gesponsert.

• Ausführung: Die Anpassung vorhandener Prozesse (oder ihre erstmalige Niederschrift) ist eine gemeinsame Arbeit, die die Folgenden einbezieht:

  • Team für Sicherheitsvorgänge: Das Incident Management-Team oder eine entsprechende Führungskraft leitet Prozess- und Integrationsaktualisierungen für wichtige externe Beteiligte. Zu diesen Teams gehören Rechts- und Kommunikations- oder Public Relations-Teams.
  • Team für Sicherheitsvorgänge: Sicherheitsanalysten tragen mit Fachkenntnissen zur Untersuchung und Selektierung technischer Vorfälle bei.
  • Zentrale IT-Abteilung: Dieses Team stellt Fachkenntnisse zur Cloudplattform bereit – entweder direkt, über das Cloudkompetenzzentrum oder über externe Berater.

Wie kann ich das erreichen?

Aktualisieren Sie Prozesse, und bereiten Sie das Team vor, damit es weiß, was beim Auffinden eines aktiven Angreifers zu tun ist.

• Prozesse und Playbooks: Passen Sie vorhandene Untersuchungen sowie Korrektur- und Bedrohungssuchprozesse an die andere Funktionsweise von Cloudplattformen an. Zu diesen Unterschieden zählen unter anderem neue oder andere Tools, Datenquellen und Identitätsprotokolle.
• Weiterbildung: Schulen Sie Analysten in der gesamten Cloudtransformation, in technischen Details zur Funktionsweise der Plattform und in neuen/aktualisierten Prozessen. Dadurch wissen sie, was sich möglicherweise ändert und wo sie das finden, was sie benötigen.
• Schwerpunktbereiche: In den Ressourcenlinks werden zwar viele Details beschrieben, bei Ihren Schulungs- und Planungsmaßnahmen sollten Sie sich jedoch auf die folgenden Schwerpunktbereiche konzentrieren:
  • Modell der gemeinsamen Verantwortung und Cloudarchitekturen: Für Sicherheitsanalysten ist Azure ein softwaredefiniertes Rechenzentrum, das viele Dienste bereitstellt. Zu diesen Diensten gehören neben virtuellen Computer auch andere, die sich von der lokalen Umgebung unterscheiden, z. B. Azure SQL-Datenbank, Azure Functions. Die besten Daten befinden sich in den Dienstprotokollen oder in den spezialisierten Bedrohungserkennungsdiensten. Sie befinden sich nicht in Protokollen der zugrunde liegenden Betriebssysteme oder virtuellen Computer, die von Microsoft betrieben werden und mehrere Kunden bedienen. Analysten müssen diesen Kontext verstehen und in Ihre täglichen Workflows integrieren. Dadurch wissen sie, welche Daten sie erwarten können, wo sie zu finden sind und in welchem Format sie vorliegen.
  • Endpunktdatenquellen: Mit nativen Clouderkennungstools lassen sich häufig schneller und einfacher präzisere Erkenntnisse und Daten zu Angriffen und Malware im Zusammenhang mit in der Cloud gehosteten Servern gewinnen. Tools wie Microsoft Defender für Cloud und EDR-Lösungen (Endpoint Detection and Response, Endpunkterkennung und Reaktion) liefern präzisere Daten als herkömmliche Ansätze mit direktem Datenträgerzugriff. Direkte Datenträgerforensik ist für Szenarien verfügbar, in denen sie möglich und aus rechtlichen Gründen erforderlich ist. Weitere Informationen finden Sie unter Computerforensik in Azure. Sie ist aber auch häufig die ineffizienteste Methode, um Angriffe zu erkennen und zu untersuchen.
  • Netzwerk- und Identitätsdatenquellen: Bei vielen Funktionen von Cloudplattformen wird die Identität in erster Linie für die Zugriffssteuerung genutzt. Diese Zugriffssteuerung schließt den Zugriff auf das Azure-Portal ein. Aber auch Netzwerkzugriffssteuerungen werden ausgiebig genutzt. Im Zusammenhang mit dieser Zugriffssteuerung müssen sich Analysten mit Cloudidentitätsprotokollen vertraut machen, um ein umfassendes Bild von Angreiferaktivitäten und legitimen Benutzeraktivitäten zu erhalten und die Untersuchung sowie Korrekturmaßnahmen unterstützen zu können. Identitätsverzeichnisse und -protokolle unterscheiden sich von den Identitätsverzeichnissen und -protokollen der lokalen Umgebung. Sie basieren in der Regel auf SAML, OAuth und OpenID Connect sowie auf Cloudverzeichnissen statt auf LDAP, Kerberos, NTLM und Active Directory.
  • Praktische Übungen: Die Simulation von Angriffen und Reaktionen kann zum Aufbau eines „motorischen Gedächtnisses“ sowie zur technischen Bereitschaft Ihrer Organisation beitragen. Sie dienen zur Vorbereitung von Sicherheitsanalysten, Bedrohungssuchern, Incident-Managern und anderen Beteiligten in Ihrer Organisation. Das Lernen in der Praxis und die entsprechende Anpassung ist zwar ein natürlicher Bestandteil der Reaktion auf Incidents, Sie können jedoch darauf hinarbeiten, den Anteil dessen, was in einer Krise gelernt werden muss, zu minimieren.

Wichtige Ressourcen

• Referenzleitfaden für die Reaktion auf Vorfälle
• Anleitung zum Entwickeln Ihres eigenen Prozesses für die Reaktion auf Sicherheitsvorfälle
• Protokollierung und Warnung in Azure
• Bewährte Methoden von Microsoft für die Sicherheit
  • Transformation von Sicherheit, Strategien, Tools und Bedrohungen
  • Sicherheitsvorgänge
• Microsoft-Erkenntnisse aus dem Operationszentrum für Cyberabwehr (Cyber Defense Operations Center, CDOC)
  • Generelle Lektionen
  • Untersuchung von Incidents
  • Behebung von Incidents

Weitere Informationen finden Sie im Azure Security Benchmark-Abschnitt zur Reaktion auf Incidents für Azure.

5. Prozess: Einrichten der Sicherheitsstatusverwaltung

Lernen Sie sich zunächst selbst kennen.

Was?

Verwalten Sie durch folgende Maßnahmen aktiv den Sicherheitsstatus Ihrer Azure-Umgebung:

• Zuweisen klarer Zuständigkeiten für:
  • Überwachen des Sicherheitsstatus
  • Mindern von Risiken für Ressourcen
• Automatisieren und Vereinfachen dieser Aufgaben

Warum?

Durch das schnelle Ermitteln und Beheben allgemeiner Sicherheitsrisiken wird das Risiko für Ihre Organisation wesentlich verringert.

Der softwaredefinierte Ansatz von Cloudrechenzentren ermöglicht die kontinuierliche Überwachung von Sicherheitsrisiken (etwa Softwaresicherheitsanfälligkeiten, Sicherheitsfehlkonfigurationen) mit umfangreicher Ressourceninstrumentierung. Angesichts der Geschwindigkeit, mit der Entwickler und IT-Teams virtuelle Computer, Datenbanken und andere Ressourcen bereitstellen können, muss auch dafür gesorgt werden, dass Ressourcen sicher konfiguriert und aktiv überwacht werden.

Diese neuen Funktionen bieten neue Möglichkeiten, aber damit ihr Wert erkannt wird, muss die Verantwortlichkeit für ihre Verwendung zugewiesen werden. Zur konsistenten Ausführung mit sich schnell entwickelnden Cloudvorgängen müssen die menschlichen Prozesse so einfach und automatisiert wie möglich gestaltet werden. Weitere Informationen finden Sie in Prinzipien für den Sicherheitsentwurf unter „Fördern der Einfachheit“.

Hinweis

Das Ziel der Vereinfachung und Automatisierung ist nicht, Aufträge loszuwerden, sondern Menschen die Belastung sich wiederholender Aufgaben abzunehmen, damit sie sich auf höherwertigere menschliche Aktivitäten wie das Engagement in IT- und DevOps-Teams und deren Schulung konzentrieren können.

Wer?

Diese Methode ist in der Regel in zwei Gruppen von Zuständigkeiten unterteilt:

• Sicherheitsstatusverwaltung: Diese Funktion ist oft eine Weiterentwicklung vorhandener Sicherheitsrisikoverwaltungs- oder Governancefunktionen. Das Ergebnis umfasst das Überwachen des gesamten Sicherheitsstatus mithilfe der Sicherheitsbewertung von Microsoft Defender für Cloud und anderer Datenquellen. Es beinhaltet die aktive Zusammenarbeit mit Ressourcenbesitzern, um Risiken zu verringern, sowie das Melden von Risiken an die Führungskräfte im Sicherheitsbereich.

• Wiederherstellung der Sicherheit: Weisen Sie die Verantwortung für die Behebung dieser Risiken den Teams zu, die für die Verwaltung dieser Ressourcen zuständig sind. Die Verantwortung tragen entweder die DevOps-Teams, die ihre eigenen Anwendungsressourcen verwalten, oder die technologiespezifischen Teams in der zentralen IT-Abteilung:

  • Compute- und Anwendungsressourcen
    • App Services: Anwendungsentwicklungs- und Sicherheitsteams
    • Container: Anwendungsentwicklung und/oder Infrastruktur-/IT-Betrieb
    • VMs, Skalierungsgruppen, Compute: Infrastruktur-/IT-Betrieb
  • Daten- und Speicherressourcen
    • SQL, Redis, Data Lake Analytics, Data Lake-Speicher: Datenbankteam
    • Speicherkonten: Speicher- und Infrastrukturteam
  • Identitäts- und Zugriffsressourcen
    • Abonnements Identitätsteams
    • Schlüsseltresor: Identitäts- oder Informations-/Datensicherheitsteam
  • Netzwerkressourcen: Netzwerksicherheitsteam
  • IoT-Sicherheit: IoT-Betriebsteam

Wie kann ich das erreichen?

Das Thema „Sicherheit“ geht jeden etwas an. Aber nicht jeder weiß, wie wichtig es ist, was zu tun und wie es zu tun ist.

• Machen Sie deutlich, dass Ressourcenbesitzer für das Sicherheitsrisiko ebenso verantwortlich sind wie für die Verfügbarkeit, Leistung, Kosten und andere Erfolgsfaktoren.
• Vermitteln Sie Ressourcenbesitzern, warum das Sicherheitsrisiko für ihre Ressourcen relevant ist, was sie tun können, um Risiken zu minimieren, und wie sie diese Maßnahmen mit minimalem Produktivitätsverlust implementieren können.

Wichtig

Die Erläuterungen, warum welche Ressourcen wie gesichert werden, sind häufig für verschiedene Ressourcentypen und Anwendungen ähnlich, aber es ist wichtig, dass Sie sie mit dem in Zusammenhang bringen, was die einzelnen Teams bereits wissen und sie beschäftigt. Sicherheitsteams können vertrauenswürdige Ratgeber und Partner ihrer IT- und DevOps-Kollegen sein und diesen Teams zum Erfolg verhelfen.

Tools: Die Sicherheitsbewertung in Microsoft Defender für Cloud bietet eine Bewertung der wichtigsten Sicherheitsinformationen für eine Vielzahl von Ressourcen in Azure. Diese Bewertung kann als Ausgangspunkt für die Statusverwaltung herangezogen und nach Bedarf durch benutzerdefinierte Azure-Richtlinien und andere Mechanismen ergänzt werden.

Häufigkeit: Richten Sie ein Intervall (in der Regel monatlich) ein, um die Azure-Sicherheitsbewertung zu überprüfen und Initiativen mit bestimmten Optimierungszielen zu planen. Die Häufigkeit kann bei Bedarf gesteigert werden.

Tipp

Machen Sie vielleicht aus der Aktivität ein Spiel, um das Engagement zu steigern, indem Sie z. B. unterhaltsame Wettbewerbe veranstalten und Preisen für die DevOps-Teams in Aussicht stellen, die ihre Bewertung am meisten steigern.

Weitere Informationen finden Sie im Azure Security Benchmark-Abschnitt zur Strategie für die Sicherheitsstatusverwaltung.

6. Technologie: Verpflichtung zur kennwortlosen oder mehrstufigen Authentifizierung

Würden Sie die Sicherheit Ihres Unternehmens darauf verwetten, dass professionelle Angreifer das Kennwort Ihres Administrators nicht erraten oder stehlen können?

Was?

Legen Sie fest, dass alle Administrator*innen mit potenziell kritischen Berechtigungen die kennwortlose oder mehrstufige Authentifizierung (Multi-Faktor-Authentifizierung, MFA) verwenden müssen.

Warum?

Genau wie ein antiquierter Generalschlüssel ein Haus nicht vor einem modernen Einbrecher schützt, schützen Kennwörter Konten nicht vor üblichen Angriffen. Technische Details finden Sie unter Your pa$$word doesn't matter (Ihr Kennwort spielt keine Rolle).

Die mehrstufige Authentifizierung war früher einmal ein umständlicher Zusatzschritt. Heutzutage verbessern kennwortlose Konzepte die Anmeldeerfahrung mit biometrischen Ansätzen wie etwa der Gesichtserkennung bei Windows Hello und mobilen Geräten. Darüber werden bei Zero Trust-Ansätze vertrauenswürdige Geräte gespeichert. Dadurch verringern sich Aufforderungen zu lästigen Out-of-Band-MFA-Aktionen. Weitere Informationen finden Sie unter Anmeldehäufigkeit von Benutzern.

Wer?

Die Kennwort- und MFA-Initiative wird in der Regel vom Team für die Identitäts- und Schlüsselverwaltung oder vom Team für die Sicherheitsarchitektur geleitet.

• Sponsoring: Diese Aufgabe wird in der Regel vom CISO, CIO oder Director of Identity gesponsert.
• Ausführung: Dies ist eine gemeinsame Aufgabe mit folgenden Beteiligten:
  • Team für Richtlinien und Standards: Formuliert klare Anforderungen.
  • Team für Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung: Implementiert die Richtlinie.
  • Sicherheitscomplianceverwaltung: Gewährleistet die Compliance mittels Überwachung.

Wie kann ich das erreichen?

Implementieren Sie eine kennwortlose oder mehrstufige Authentifizierung. Schulen Sie Administratoren, damit sie wissen, wie sie sie verwenden, und verwenden Sie eine schriftliche Richtlinie, an die sich Administratoren halten müssen. Verwenden Sie eine oder mehrere dieser Technologien:

• Kennwortloses Windows Hello
• Kennwortlose Authenticator-App
• Multi-Faktor-Authentifizierung in Microsoft Entra
• Drittanbieterlösung zur mehrstufigen Authentifizierung

Hinweis

Die mehrstufige Authentifizierung auf SMS-Basis ist für Angreifer mittlerweile relativ kostengünstig umgehbar. Konzentrieren Sie sich daher auf kennwortlose und stärkere mehrstufige Authentifizierung.

Weitere Informationen finden Sie auch im Azure Security Benchmark-Abschnitt zu strengen Authentifizierungssteuerungen für alle Microsoft Entra ID-basierte Zugriffe.

7. Technologie: Integrieren von nativer Firewall und Netzwerksicherheit

Vereinfachen Sie den Schutz von Systemen und Daten vor Netzwerkangriffen.

Was?

Vereinfachen Sie Ihre Netzwerksicherheitsstrategie und -wartung, indem Sie Azure Firewall, Azure Web App Firewall (WAF) und DDoS-Entschärfungen in Ihren Ansatz zur Netzwerksicherheit integrieren.

Warum?

Die Vereinfachung ist wichtig für die Sicherheit, da dadurch die Wahrscheinlichkeit des Auftretens von Risiken durch Verwirrung, Fehlkonfigurationen und andere menschliche Fehler reduziert wird. Weitere Informationen finden Sie in Prinzipien für den Sicherheitsentwurf unter „Fördern der Einfachheit“.

Firewalls und WAFs sind wichtige grundlegende Sicherheitssteuerungen zum Schutz von Anwendungen vor schädlichem Datenverkehr, aber deren Einrichtung und Wartung können komplex sein und in beträchtlichem Maße Zeit und Aufmerksamkeit des Sicherheitsteams beanspruchen (ähnlich dem Hinzufügen angepasster Zusatzteile zu einem Auto). Die nativen Funktionen von Azure können Implementierung und Betrieb von Firewalls, Web Application Firewalls, Entschärfung verteilter Denial-of-Service-Angriffe (DDoS) und mehr vereinfachen.

Dadurch hat Ihr Team mehr Zeit für wichtigere Sicherheitsaufgaben wie:

• Auswerten der Sicherheit von Azure-Diensten
• Automatisieren von Sicherheitsvorgängen
• Integrieren von Sicherheit in Anwendungen und IT-Lösungen

Wer?

• Sponsoring: Die Aktualisierung der Netzwerksicherheitsstrategie wird in der Regel von den Führungskräften im Sicherheitsbereich oder von IT-Führungskräften gesponsert.
• Ausführung: Die Integration dieser Strategien in Ihre Cloudnetzwerk-Sicherheitsstrategie ist eine gemeinsame Aufgabe mit folgenden Beteiligten:
  • Team für die Sicherheitsarchitektur: Richtet die Cloudnetzwerk-Sicherheitsarchitektur mit Cloudnetzwerk- und Cloudnetzwerksicherheits-Leads ein.
  • Cloudnetzwerkleads (zentrale IT-Abteilung) und Cloudnetzwerksicherheits-Leads (Infrastruktursicherheits-Team)
    • Richten die Cloudnetzwerksicherheits-Architektur mit Sicherheitsarchitekten ein.
    • Konfigurieren Firewall-, NSG- und WAF-Funktionen und arbeiten gemeinsam mit Anwendungsarchitekten an WAF-Regeln.
  • Anwendungsarchitekten: Arbeiten zum Erstellen und Optimieren von WAF-Regelsätzen und DDoS-Konfigurationen mit dem Netzwerksicherheitsteam zusammen, um die Anwendung ohne Unterbrechung der Verfügbarkeit zu schützen.

Wie kann ich das erreichen?

Organisationen, die ihren Betrieb vereinfachen möchten, haben zwei Möglichkeiten:

• Erweitern vorhandener Funktionen und Architekturen: Viele Organisationen entscheiden sich häufig dafür, die Verwendung vorhandener Firewallfunktionen zu erweitern, sodass sie vorhandene Investitionen in Fertigkeiten und Prozessintegration nutzen können, insbesondere am Anfang der Cloudeinführung.
• Integrieren nativer Sicherheitssteuerungen: Immer mehr Organisationen beginnen mit der Verwendung nativer Steuerungen, um die Komplexität der Integration von Drittanbieterfunktionen zu vermeiden. Diese Organisationen sind in der Regel bestrebt, das Risiko einer Fehlkonfiguration von Lastenausgleich, benutzerdefinierten Routen, Firewall oder WAF selbst und Verzögerungen bei der Übergabe zwischen verschiedenen technischen Teams zu vermeiden. Diese Option ist für Organisationen interessant, die Infrastructure-as-Code-Ansätze integrieren, da sie die integrierten Funktionen leichter automatisieren und instrumentieren können als Funktionen von Drittanbietern.

Dokumentation zu den nativen Netzwerksicherheitsfunktionen von Azure finden Sie unter:

• Azure Firewall
• Azure Web Application Firewall (WAF)
• Azure DDoS Protection

Azure Marketplace umfasst zahlreiche Firewalldrittanbieter.

Weitere Informationen finden Sie im Azure Security Benchmark für DDOS-Schutz und Web Application Firewall-Schutz.

8. Technologie: Integrieren der nativen Bedrohungserkennung

Vereinfachen Sie die Erkennung von Angriffen auf Azure-Systeme und -Daten und die Antwort darauf.

Was?

Vereinfachen Sie die Strategie der Erkennung von Bedrohungen und der Antwort darauf, indem Sie native Bedrohungserkennungsfunktionen in Ihre Sicherheitsvorgänge und SIEM integrieren.

Warum?

Sicherheitsvorgänge dienen dazu, die Auswirkungen aktiver Angreifer zu verringern, die Zugriff auf die Umgebung erlangen. Die Auswirkungen werden an der durchschnittlichen Zeit zur Bestätigung (Mean Time To Acknowledge, MTTA) und Behandlung (Mean Time To Remediate, MTTR) von Incidents gemessen. Dies erfordert sowohl Genauigkeit als auch Geschwindigkeit in allen Bereichen der Reaktion auf Incidents. Das Ergebnis trägt dazu bei, eine hohe Qualität der Tools sowie eine hohe Effizienz der Prozessausführung zu gewährleisten.

Es ist schwierig, hohe Bedrohungen mithilfe vorhandener Tools und Ansätze zu erkennen. Die Tools wurden für die lokale Bedrohungserkennung entwickelt. Dies liegt an den Unterschieden bei der Cloudtechnologie und ihrem schnellen Änderungstempo. Nativ integrierte Erkennungen bieten von den Cloudanbietern verwaltete Branchenlösungen, die mit aktuellen Bedrohungen und Cloudplattformänderungen Schritt halten können.

Mit diesen nativen Lösungen können sich Teams für Sicherheitsvorgänge auf die Untersuchung und Behandlung von Incidents konzentrieren. Konzentrieren Sie sich auf diese Elemente, anstatt Zeit damit zu vergeuden, Warnungen aus unbekannten Protokolldaten zu erstellen, Tools zu integrieren und Wartungsaufgaben durchzuführen.

Wer?

Dies wird in der Regel durch das Team für Sicherheitsvorgänge gesteuert.

• Sponsoring: Diese Aufgabe wird in der Regel vom Direktor für Sicherheitsvorgänge oder einer entsprechenden Rolle gesponsert.
• Ausführung: Die Integration der nativen Bedrohungserkennung ist eine gemeinsame Aufgabe mit folgenden Beteiligten:
  • Team für Sicherheitsvorgänge: Integriert Warnungen in SIEM- und Incidentuntersuchungsprozesse. Das Team für Sicherheitsvorgänge kann Analysten mit Cloudwarnungen und deren Bedeutung sowie mit der Verwendung der nativen Cloudtools vertraut machen.
  • Team zur Vorbereitung auf Incidents: Integriert Cloudincidents in praktische Übungen und sorgt dafür, dass praktische Übungen durchgeführt werden, um die Teambereitschaft zu fördern.
  • Team für Threat Intelligence: Untersucht und integriert Informationen zu Cloudangriffen, um Teams mit Kontext und Daten zu versorgen.
  • Team für die Sicherheitsarchitektur: Integriert native Tools in die Dokumentation zur Sicherheitsarchitektur.
  • Richtlinien und Standards : Legen Sie Standards und Richtlinien für die Aktivierung nativer Tools in der gesamten Organisation fest. Überwachen Sie die Einhaltung.
  • Infrastruktur und Endpunkt sowie Zentrale IT-Abteilung: Konfigurieren und aktivieren Sie Erkennungsmaßnahmen, und integrieren Sie sie als Codelösungen in Automatisierung und Infrastruktur.

Wie kann ich das erreichen?

Aktivieren Sie die Bedrohungserkennung in Microsoft Defender für Cloud für alle Ressourcen, die Sie verwenden, und lassen Sie die einzelnen Teams diese Ressourcen wie oben beschrieben in ihre Prozesse integrieren.

Weitere Informationen finden Sie im Azure Security Benchmark-Abschnitt zur Bedrohungserkennung für Azure-Ressourcen.

9. Architektur: Standardisieren eines einzelnen Verzeichnisses und einer einzelnen Identität

Niemand möchte mit mehreren Identitäten und Verzeichnissen umgehen.

Was?

Standardisieren in einem einzelnen Microsoft Entra-Verzeichnis. Sie können eine einzelne Identität für jede Anwendung und jeden Benutzer in Azure standardisieren.

Hinweis

Diese bewährte Vorgehensweise bezieht sich speziell auf Unternehmensressourcen. Verwenden Sie für Partnerkonten Microsoft Entra B2B, damit Sie keine Konten in Ihrem Verzeichnis erstellen und verwalten müssen. Verwenden Sie Azure AD B2C, um Kunden- oder Bürgerkonten zu verwalten.

Warum?

Durch mehrere Konten und Identitätsverzeichnisse entstehen unnötige Unstimmigkeiten, die zu Verwirrung in täglichen Workflows führen für:

• Produktivitätsbenutzer
• Entwickler
• IT- und Identitätsadministratoren
• Sicherheitsanalysten
• Andere Rollen

Die Verwaltung mehrerer Konten und Verzeichnisse verleitet zu schlechten Sicherheitsmethoden. Ein Beispiel wäre etwa die Wiederverwendung des gleichen Kennworts für verschiedene Konten. Außerdem wird es dadurch wahrscheinlicher, dass veraltete oder verwaiste Konten vorhanden sind, die von Angreifern ausgenutzt werden können.

Es erscheint zwar manchmal einfacher, schnell ein benutzerdefiniertes LDAP-Verzeichnis für eine bestimmte Anwendung oder Workload zu erstellen, durch diese Aktion erhöht sich jedoch der Integrations- und Verwaltungsaufwand – und zwar erheblich. Dies ist vergleichbar mit der Entscheidung, einen zusätzlichen Azure-Mandanten oder eine lokale Active Directory-Gesamtstruktur einzurichten, anstatt den vorhandenen Unternehmensmandanten zu verwenden. Weitere Informationen finden Sie unter dem Sicherheitsprinzip des Förderns der Einfachheit.

Wer?

Die Standardisierung für ein einzelnes Microsoft Entra-Verzeichnis ist häufig eine teamübergreifende Aufgabe. Die Aufgabe wird durch das Team für die Sicherheitsarchitektur oder durch das Team für die Identitäts- und Schlüsselverwaltung vorangetrieben.

• Sponsoring: Diese Aufgabe wird in der Regel durch das Team für die Identitäts- und Schlüsselverwaltung und durch das Team für die Sicherheitsarchitektur gesponsert. (In einigen Organisationen ist jedoch möglicherweise ein Sponsoring durch CISO oder CIO erforderlich.)
• Ausführung: Dies ist eine gemeinsame Aufgabe mit folgenden Beteiligten:
  • Team für die Sicherheitsarchitektur: Dieses Team integriert den Prozess in Dokumente und Diagramme zur Sicherheit und IT-Architektur.
  • Team für Richtlinien und Standards: Dieses Team dokumentiert Richtlinien und überwacht die Compliance.
  • Team für die Identitäts- und Schlüsselverwaltung oder Team der zentralen IT-Abteilung: Diese Teams implementieren die Richtlinie durch Aktivieren von Funktionen und durch die Unterstützung von Entwicklern mit Konten, Schulungen usw.
  • Anwendungsentwickler oder zentrale IT-Abteilung: Diese Teams verwenden Identitäten in Anwendungen und Azure-Dienstkonfigurationen. Zuständigkeiten variieren je nach Stand der DevOps-Einführung.

Wie kann ich das erreichen?

Verfolgen Sie einen pragmatischen Ansatz, der mit den neuen Greenfield-Funktionen beginnt. Beseitigen Sie anschließend Herausforderungen mit dem Brownfield vorhandener Anwendungen und Dienste als Folgeaufgabe:

• Greenfield: Richten Sie eine klare Richtlinie ein, die besagt, dass alle Unternehmensidentitäten ein einzelnes Microsoft Entra-Verzeichnis mit einem einzelnen Konto für alle Benutzer*innen verwenden können, und implementieren Sie sie.

• Brownfield: Viele Organisationen verfügen häufig über mehrere veraltete Verzeichnisse und Identitätssysteme. Befassen Sie sich mit diesen Legacyelementen, wenn die Kosten, die im Zusammenhang mit aktuellen Spannungen bei der Verwaltung entstehen, die Investitionen in ihre Bereinigung übersteigen. Lösungen für die Identitätsverwaltung und -synchronisierung können zwar einige dieser Probleme minimieren, aber ihnen fehlt eine tiefgreifende Integration von Sicherheits- und Produktivitätsfeatures. Diese Features ermöglichen eine nahtlose Erfahrung für Benutzer, Administratoren und Entwickler.

Die Identitätsverwendung lässt sich am besten im Rahmen der Anwendungsentwicklungszyklen kombinieren, während Sie folgende Tätigkeiten ausführen:

• Modernisieren Sie Anwendungen für die Cloud.
• Aktualisieren Sie Cloudanwendungen mit DevOps-Prozessen.

Es gibt zwar durchaus Gründe für ein separates Verzeichnis (für separate Geschäftseinheiten oder aufgrund von gesetzlichen Anforderungen), in allen anderen Fällen sollten mehrere Verzeichnisse jedoch vermieden werden.

Weitere Informationen finden Sie im Azure Security Benchmark-Abschnitt zum zentralen Identitäts- und Authentifizierungssystem von Microsoft Entra.

Wichtig

Die einzige Ausnahme von der Einzelkontenregel besteht darin, dass privilegierte Benutzer, einschließlich IT-Administratoren und Sicherheitsanalysten, über separate Konten für Standardbenutzeraufgaben und für administrative Aufgaben verfügen können.

Weitere Informationen finden Sie im Azure-Sicherheitsvergleichstest unter Privilegierter Zugriff.

10. Architektur: Verwenden der identitätsbasierten Zugriffssteuerung anstelle von Schlüsseln

Was?

Verwenden Sie nach Möglichkeit Microsoft Entra-Identitäten anstelle der schlüsselbasierten Authentifizierung. Beispielsweise Azure-Dienste, Anwendungen, APIs.

Warum?

Die schlüsselbasierte Authentifizierung kann für die Authentifizierung bei Clouddiensten und APIs verwendet werden. Sie erfordert jedoch eine sichere Verwaltung von Schlüsseln, was insbesondere im großen Umfang eine Herausforderung darstellt. Die sichere Schlüsselverwaltung ist schwierig für Personen wie Entwickler und Infrastrukturexperten, die keine Sicherheitsexperten sind, und sie führen sie oft nicht sicher durch, was häufig zu erheblichen Sicherheitsrisiken für die Organisation führt.

Die identitätsbasierte Authentifizierung überwindet viele dieser Herausforderungen durch ausgereifte Funktionen. Hierzu zählen beispielsweise Geheimnisrotation, Lebenszyklusverwaltung und administrative Delegierung.

Wer?

Die Implementierung der identitätsbasierten Zugriffssteuerung ist häufig eine teamübergreifende Aufgabe. Die Aufgabe wird durch das Team für die Sicherheitsarchitektur oder durch das Team für die Identitäts- und Schlüsselverwaltung vorangetrieben.

• Sponsoring: Diese Aufgabe wird in der Regel durch das Team für die Sicherheitsarchitektur oder durch das Team für die Identitäts- und Schlüsselverwaltung gesponsert. (In einigen Organisationen ist jedoch möglicherweise ein Sponsoring durch CISO oder CIO erforderlich.)
• Ausführung: Dies ist eine gemeinsame Aufgabe mit folgenden Beteiligten:
  • Team für die Sicherheitsarchitektur: Dieses Team integriert die bewährte Methode in Diagramme und Dokumente zur Sicherheit und IT-Architektur.
  • Team für Richtlinien und Standards: Dieses Team dokumentiert Richtlinien und überwacht die Compliance.
  • Team für die Identitäts- und Schlüsselverwaltung oder Team der zentralen IT-Abteilung: Diese Teams implementieren die Richtlinie durch Aktivieren von Funktionen und durch die Unterstützung von Entwicklern mit Konten, Schulungen usw.
  • App-Entwickler oder zentrale IT-Abteilung: Diese Teams verwenden Identitäten in Anwendungen und Azure-Dienstkonfigurationen. Zuständigkeiten variieren je nach Stand der DevOps-Einführung.

Wie kann ich das erreichen?

Die Verwendung der identitätsbasierten Authentifizierung in der Organisation als Präferenz und Gewohnheit zu etablieren, setzt die Befolgung eines Prozesses und Aktivierung einer Technologie voraus.

Der Prozess

1. Richten Sie Richtlinien und Standards ein, die die standardmäßige identitätsbasierte Authentifizierung und akzeptable Ausnahmen eindeutig beschreiben.
2. Informieren Sie Entwickler und Infrastrukturteams darüber, warum und wie sie den neuen Ansatz verwenden sollen.
3. Implementieren Sie Änderungen auf pragmatische Weise. Beginnen Sie dabei mit neuen Greenfield-Funktionen, die jetzt und in Zukunft eingeführt werden, z. B. neue Azure-Dienste, neue Anwendungen, und führen Sie dann eine Bereinigung vorhandener Brownfield-Konfigurationen durch.
4. Überwachen Sie die Einhaltung, und führen Sie mit Entwickler- und Infrastrukturteams Korrekturen durch.

Die Technologien

Verwenden Sie für Konten, die nicht für Personen, sondern z. B. für Dienste oder Automatisierung bestimmt sind, verwaltete Identitäten. Verwaltete Identitäten in Azure können sich bei Azure-Diensten und -Ressourcen authentifizieren, die die Microsoft Entra-Authentifizierung unterstützen. Die Authentifizierung wird durch vordefinierte Zugriffszuweisungsregeln ermöglicht, sodass hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden werden.

Für Dienste, die keine verwalteten Identitäten unterstützen, können Sie stattdessen mit Microsoft Entra ID einen Dienstprinzipal mit eingeschränkten Berechtigungen auf Ressourcenebene erstellen. Sie sollten Dienstprinzipale mit Zertifikatanmeldeinformationen und Fallback auf geheime Clientschlüssel konfigurieren. In beiden Fällen kann Azure Key Vault mit verwalteten Azure-Identitäten verwendet werden, damit die Laufzeitumgebung, z. B. eine Azure-Funktion, die Anmeldeinformationen aus dem Schlüsseltresor abrufen kann.

Weitere Informationen finden Sie im Azure Security Benchmark-Abschnitt zu Anwendungsidentitäten.

11. Architektur: Einrichten einer einzelnen vereinheitlichten Sicherheitsstrategie

Alle müssen in der gleichen Richtung rudern, damit das Boot vorwärts fährt.

Was?

Stellen Sie sicher, dass sich alle Teams an einer einzigen Strategie orientieren, die Unternehmenssysteme und -daten zulässt und sichert.

Warum?

Wenn Teams isoliert arbeiten, ohne sich an einer gemeinsamen Strategie zu orientieren, kann es passieren, dass sie unabsichtlich gegeneinander arbeiten. Die fehlende Ausrichtung kann unnötige Spannungen erzeugen und das Erreichen der jeweiligen Ziele verzögern.

Ein Beispiel für isoliert arbeitende Teams, das sich in vielen Organisationen so abgespielt hat, ist die Segmentierung von Ressourcen:

• Team für Netzwerksicherheit: Entwickelt eine Strategie für die Segmentierung eines flachen Netzwerks. Die Strategie erhöht die Sicherheit, häufig basierend auf physischen Standorten, zugewiesenen IP-Adressen/-Adressbereichen oder Ähnlichem.
• Identitätsteam: Entwickelt basierend auf seinem Wissen über die Organisation separat eine Strategie für Gruppen und Active Directory-Organisationseinheiten (OEs).
• Anwendungsteams: Haben Probleme mit der Verwendung dieser Systeme. Die Verwendung ist schwierig, da sie mit begrenztem Input und Verständnis hinsichtlich geschäftlicher Abläufe, Ziele und Risiken entwickelt wurden.

In Organisationen mit diesen Einschränkungen kommt es bei Teams häufig zu Konflikten aufgrund von Firewallausnahmen. Diese Konflikte können die Sicherheit beeinträchtigen, da Teams Ausnahmen genehmigen. Und auch die Produktivität leidet, da sich die Bereitstellung dringend benötigter Anwendungsfunktionen verzögert.

Wenngleich die Sicherheit durch Erzwingen kritischer Überlegungen eine heilsame Friktion bewirken kann, schafft dieser Konflikt nur eine kontraproduktive Friktion, die das Erreichen von Zielen erschwert. Weitere Informationen finden Sie im Leitfaden zur Sicherheitsstrategie.

Wer?

• Sponsoring: Die einheitliche Strategie wird in der Regel vom CIO, CISO und CTO gemeinsam gesponsert. Bei einigen allgemeinen Elementen wird das Sponsoring häufig von der Unternehmensleitung sowie von Vertretern der einzelnen Teams unterstützt.
• Ausführung: Die Sicherheitsstrategie muss von allen implementiert werden. Sie integriert Daten aus verschiedenen Teams, um die Verantwortung, Akzeptanz und Erfolgswahrscheinlichkeit zu erhöhen.
  • Team für die Sicherheitsarchitektur: Dieses Team leitet die Entwicklung der Sicherheitsstrategie und der daraus resultierenden Architektur. Das Team für die Sicherheitsarchitektur sammelt aktiv Feedback von Teams und dokumentiert es in Präsentationen, Dokumenten und Diagrammen für die verschiedenen Zielgruppen.
  • Team für Richtlinien und Standards: Dieses Team erfasst die entsprechenden Elemente in Standards und Richtlinien und überwacht die Compliance.
  • Alle technischen IT- und Sicherheitsteams: Diese Teams stellen Inputanforderungen zur Verfügung, richten die Unternehmensstrategie daran aus und implementieren sie.
  • Anwendungsbesitzer und -entwickler: Diese Teams machen sich mit der für sie relevanten Strategiedokumentation vertraut. Idealerweise stimmen sie die Richtlinien auf ihre Rolle ab.

Wie kann ich das erreichen?

Erstellen und implementieren einer Sicherheitsstrategie für die Cloud, die den Input und die aktive Teilnahme aller Teams einschließt. Das Prozessdokumentationsformat kann zwar variieren, umfasst aber immer Folgendes:

• Aktiven Input von Teams: Strategien scheitern in der Regel, wenn sie von Personen in der Organisation nicht akzeptiert werden. Im Idealfall versammeln Sie alle Teams im gleichen Raum, damit sie die Strategie gemeinsam erarbeiten. In den Workshops, die wir mit Kunden durchführen, stellen wir häufig fest, dass Organisationen faktisch in Silos gearbeitet haben und Personen sich in diesen Meetings häufig überhaupt zum ersten Mal trafen. Wir haben festgestellt, dass Einbeziehung eine Voraussetzung ist. Wenn einige Teams nicht eingeladen werden, muss dieses Meeting in der Regel wiederholt werden, bis alle Beteiligten teilnehmen. Andernfalls kommt das Projekt nicht voran.
• Klar dokumentiert und kommuniziert: Alle Teams müssen mit der Sicherheitsstrategie vertraut sein. Im Idealfall ist die Sicherheitsstrategie eine Sicherheitskomponente der gesamten Technologiestrategie. Diese Strategie gibt Aufschluss darüber, warum Sicherheit integriert werden muss, worauf es bei der Sicherheit ankommt und wie erfolgreiche Sicherheit aussieht. Die Strategie enthält spezifische Anleitungen mit eindeutigen, strukturierten Vorgaben für Anwendungs- und Entwicklungsteams, damit sich diese keine irrelevanten Informationen durchlesen müssen.
• Stabil, aber flexibel: Strategien sollten relativ konsistent und stabil gestaltet werden, aber die Architekturen und die Dokumentation müssen möglicherweise geändert werden, um Klarheit zu schaffen und die dynamische Natur der Cloud zu berücksichtigen. Beispielsweise bleibt das Herausfiltern von schädlichem externem Datenverkehr auch dann konsistent ein strategisches Gebot, wenn Sie von der Verwendung einer Drittanbieterfirewall der nächsten Generation zu Azure Firewall wechseln und die Diagramme und Anleitungen für die Vorgehensweise anpassen.
• Beginn mit Segmentierung: Es gibt groß und kleine Strategieprobleme, die berücksichtigt werden müssen, aber irgendwo müssen Sie anfangen. Beginnen Sie bei der Sicherheitsstrategie mit der Segmentierung von Unternehmensressourcen. Bei dieser Segmentierung handelt es sich um eine grundlegende Entscheidung, die sich zu einem späteren Zeitpunkt nur schwer ändern ließe und sowohl geschäftlichen Input als auch viele technische Teams erfordert.

Microsoft hat eine Videoanleitung zum Anwenden einer Segmentierungsstrategie auf Azure veröffentlicht. Außerdem stehen Dokumente zur Unternehmenssegmentierung sowie zur entsprechenden Ausrichtung der Netzwerksicherheit zur Verfügung.

Das Cloud Adoption Framework enthält Anleitungen, die Ihre Teams bei Folgendem unterstützen:

• Zusammenstellen eines Cloudstrategieteams: Im Idealfall wird die Sicherheit in eine bereits vorhandene Cloudstrategie integriert.
• Erstellen oder Modernisieren einer Sicherheitsstrategie: Erreichen Sie Geschäfts- und Sicherheitsziele in der aktuellen Ära von Clouddiensten und modernen Bedrohungen.

Weitere Informationen finden Sie im Azure Security Benchmark-Abschnitt zur Governancestrategie.