Freigeben über

Übersicht über die Azure-Netzwerksicherheit

Netzwerksicherheit kann als der Prozess zum Schutz von Ressourcen vor unbefugtem Zugriff oder einem Angriff durch Anwenden von Steuerelementen für den Netzwerkdatenverkehr definiert werden. Ziel ist, dafür zu sorgen, dass nur berechtigter Datenverkehr zugelassen wird. Azure verfügt über eine robuste Netzwerkinfrastruktur zur Unterstützung der Konnektivitätsanforderungen Ihrer Anwendungen und Dienste. Netzwerkkonnektivität ist zwischen Ressourcen in Azure, zwischen lokalen und in Azure gehosteten Ressourcen und zu und aus dem Internet und Azure möglich.

In diesem Artikel werden einige der in Azure angebotenen Optionen im Bereich Netzwerksicherheit erläutert. Sie erhalten Informationen zu folgenden Bereichen:

  • Azure-Netzwerke
  • Die Netzwerkzugriffssteuerung
  • Azure Firewall
  • Ein sicherer Remotezugriff und standortübergreifende Konnektivität
  • Verfügbarkeit
  • Namensauflösung
  • Umkreisnetzwerkarchitektur (DMZ)
  • Azure-DDoS-Schutz
  • Azure Front Door – der Dienst für Web-Traffic-Management
  • Traffic Manager
  • Überwachung und Bedrohungserkennung

Hinweis

Für Webworkloads wird dringend empfohlen, den Azure DDoS-Schutz und eine Webanwendungsfirewall zum Schutz vor neuen DDoS-Angriffen zu verwenden. Eine weitere Option besteht darin, Azure Front Door zusammen mit einer Webanwendungsfirewall bereitzustellen. Azure Front Door bietet Schutz auf Plattformebene vor DDoS-Angriffen auf Netzwerkebene.

Azure-Netzwerke

Azure erfordert von einem virtuellen Computer eine Verbindung mit einem virtuellen Azure-Netzwerk. Ein virtuelles Netzwerk ist ein logisches Konstrukt, das auf dem physischen Azure-Netzwerkfabric basiert. Jedes virtuelle Netzwerk wird von allen anderen virtuellen Netzwerken isoliert. Dadurch wird sichergestellt, dass der Netzwerkdatenverkehr in Ihren Bereitstellungen nicht für andere Azure-Kunden zugänglich ist.

Weitere Informationen:

Die Netzwerkzugriffssteuerung

Netzwerkzugriffssteuerung bedeutet, die Konnektivität zu oder von bestimmten Geräten oder Subnetzen innerhalb eines virtuellen Netzwerks zu begrenzen. Das Ziel der Netzwerkzugriffssteuerung ist die Beschränkung des Zugriffs auf Ihre virtuellen Computer und Dienste auf genehmigte Benutzer und Geräte. Zugriffssteuerungen basieren auf den Entscheidungen, Verbindungen zu und von virtuellen Computern oder Diensten zuzulassen oder zu verweigern.

Azure unterstützt verschiedene Typen von Netzwerkzugriffssteuerungen. Diese umfassen:

  • Die Steuerung der Vermittlungsschicht
  • Routensteuerung und Tunnelerzwingung
  • Appliances für die Sicherheit des virtuellen Netzwerks

Die Steuerung der Vermittlungsschicht

Jede sichere Bereitstellung erfordert ein gewisses Maß an Netzwerkzugriffssteuerung. Das Ziel der Netzwerkzugriffssteuerung ist die Einschränkung der Kommunikation virtueller Computer auf die erforderlichen Systeme. Andere Verbindungsversuche werden blockiert.

Hinweis

Storage-Firewalls werden im Artikel Übersicht über die Sicherheit von Azure Storage behandelt.

Netzwerksicherheitsgruppen (NSGs)

Wenn Sie eine einfache Zugriffssteuerung auf Netzwerkebene benötigen (basierend auf IP-Adresse und TCP- oder UDP-Protokollen), können Sie Netzwerksicherheitsgruppen verwenden. Eine Netzwerksicherheitsgruppe (NSG) ist eine einfache Firewall, die zustandsbehaftete Pakete filtert und die Zugriffssteuerung auf Grundlage eines 5-Tupels ermöglicht. NSGs umfassen Funktionen zum Vereinfachen der Verwaltung und zum Verringern von Konfigurationsfehlern:

  • Ergänzte Sicherheitsregeln: vereinfachen die Definition von NSG-Regeln und ermöglichen die Erstellung von komplexen Regeln anstelle der Erstellung mehrerer einfacher Regeln mit dem gleichen Ergebnis.
  • Diensttags: von Microsoft erstellte Bezeichnungen, die eine Gruppe von IP-Adressen darstellen. Sie werden dynamisch aktualisiert, um IP-Adressbereiche aufzunehmen, die die Bedingungen erfüllen, mit denen die Aufnahme in die Bezeichnung definiert wird. Wenn Sie beispielsweise eine Regel erstellen möchten, die für alle Azure-Speicher in der östlichen Region gilt, können Sie Storage.EastUS verwenden.
  • Anwendungssicherheitsgruppen: ermöglichen, dass Sie Ressourcen in Anwendungsgruppen bereitstellen und den Zugriff auf diese Ressourcen steuern, indem Sie Regeln erstellen, in denen diese Anwendungsgruppen verwendet werden. Wenn Sie z.B. Webserver in der Anwendungsgruppe „Webserver“ bereitstellen, können Sie eine Regel erstellen, die eine Netzwerksicherheitsgruppe anwendet, die 443-Datenverkehr aus dem Internet in alle Systeme der Anwendungsgruppe „Webserver“ zulässt.

NSGs bieten weder eine Inspektion auf Anwendungsebene noch authentifizierte Zugriffssteuerungen.

Weitere Informationen:

Defender für Cloud: Just-In-Time-Zugrif auf virtuelle Computer

In Microsoft Defender für Cloud können die Netzwerksicherheitsgruppen auf virtuellen Computern verwaltet und der Zugriff auf die virtuellen Computer kann -gesperrt werden, bis ein Benutzer mit den entsprechenden Azure RBAC-Berechtigungen (RBAC: rollenbasierte Zugriffssteuerung in Azure) den Zugriff anfordert. Nachdem der Benutzer erfolgreich autorisiert wurde, nimmt Defender für Cloud Änderungen an den Netzwerksicherheitsgruppen vor, um den Zugriff auf ausgewählte Ports für den angegebenen Zeitraum zu ermöglichen. Nach Ablauf des Zeitraums werden die NSGs auf ihren vorherigen gesicherten Status zurückgesetzt.

Weitere Informationen:

Dienstendpunkte

Dienstendpunkte sind eine weitere Möglichkeit der Steuerung des Datenverkehrs. Über eine direkte Verbindung können Sie die Kommunikation mit unterstützten Diensten nur auf Ihre VNETs einschränken. Der Datenverkehr aus Ihrem VNET an den angegebenen Azure-Dienst verbleibt im Backbone-Netzwerk von Microsoft Azure.

Weitere Informationen:

Routensteuerung und Tunnelerzwingung

Die Steuerung des Routingverhaltens in Ihren virtuellen Netzwerken ist eine entscheidende Funktion. Wenn das Routing nicht ordnungsgemäß konfiguriert ist, können sich auf dem virtuellen Computer gehostete Anwendungen und Dienste mit nicht autorisierten Geräten verbinden. Dies umfasst auch Systeme, die sich im Besitz potenzieller Angreifer befinden und von diesen betrieben werden.

Azure-Netzwerke unterstützen die Möglichkeit, das Routingverhalten für den Netzwerkdatenverkehr in Ihrem virtuellen Netzwerk benutzerdefiniert anzupassen. Dadurch können Sie die Standardeinträge in der Routingtabelle in Ihrem virtuellen Netzwerk ändern. Mithilfe der Steuerung des Routingverhaltens können Sie sicherstellen, dass der gesamte von einem bestimmten Gerät oder einer Gerätegruppe ausgehende Datenverkehr über einen bestimmten Punkt in Ihr virtuelles Netzwerk eintritt oder es über diesen verlässt.

Beispielsweise verfügen Sie in Ihrem virtuellen Netzwerk möglicherweise über eine Appliance für die Sicherheit des virtuellen Netzwerks. In diesem Fall möchten Sie auch gewährleisten, dass der gesamte ein- und ausgehende Datenverkehr in Ihrem virtuellen Netzwerk Ihre Appliance für die Sicherheit Ihres virtuellen Netzwerks passiert. Sie erreichen dies über die Konfiguration von benutzerdefinierten Routen (UDRs) in Azure.

Mithilfe der Tunnelerzwingung können Sie sicherstellen, dass Ihre Dienste nicht über die Erlaubnis verfügen, eine Verbindung mit Geräten im Internet zu initiieren. Beachten Sie, dass sich dieser Mechanismus von der Erlaubnis eingehender Verbindungen und der Antwort auf diese unterscheidet. Front-End-Webserver müssen auf Anforderungen von Internethosts antworten. Aus dem Internet stammender, auf diesen Webservern eingehender Datenverkehr wird daher zugelassen und die Webserver dürfen antworten.

Was Sie nicht erlauben sollten, ist die Initiierung einer ausgehenden Anforderung vonseiten des Front-End-Webservers. Diese Anforderungen können ein Sicherheitsrisiko darstellen, da diese Verbindungen dazu genutzt werden können, Schadsoftware herunterzuladen. Selbst wenn diese Front-End-Server ausgehende Anfragen an das Internet initiieren sollen, möchten Sie möglicherweise die Nutzung Ihrer lokalen Webproxys erzwingen. Dadurch können Sie die URL-Filterung und Protokollierung nutzen.

Um dies zu verhindern, sollten Sie stattdessen die Tunnelerzwingung verwenden. Wenn Sie die Tunnelerzwingung aktivieren, werden alle Verbindungen mit dem Internet zwangsweise über Ihr lokales Gateway hergestellt. Sie können die Tunnelerzwingung konfigurieren, indem Sie benutzerdefinierte Routen nutzen.

Weitere Informationen:

Appliances für die Sicherheit des virtuellen Netzwerks

Während NSGs, UDRs und erzwungene Tunneling Ihnen ein Maß an Sicherheit auf den Netzwerk- und Transportebenen des OSI-Modells bieten, sollten Sie auch die Sicherheit auf der Anwendungsebene aktivieren.

Ihre Sicherheitsanforderungen können beispielsweise Folgendes beinhalten:

  • Authentifizierung und Autorisierung, bevor Zugriff auf Ihre Anwendung gestattet wird
  • Angriffserkennung und die Antwort darauf
  • Überprüfung der Anwendungsebene für Protokolle auf oberen Ebenen
  • URL-Filterung
  • Antivirenprogramme und Antischadsoftware auf Netzwerkebene
  • Antirobot-Schutz
  • Anwendungszugriffssteuerung
  • Zusätzlicher DDoS-Schutz (zusätzlich zu dem eigenen DDoS-Schutz von Azure-Fabric)

Sie können mit einer Azure-Partnerlösung auf diese erweiterten Netzwerksicherheitsfunktionen zugreifen. Die aktuellen Azure-Partnerlösungen für die Netzwerksicherheit finden Sie im Azure Marketplace, indem Sie nach den Stichwörtern „Sicherheit“ und „Netzwerksicherheit“ suchen.

Azure Firewall

Azure Firewall ist ein cloudnativer, intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre cloudbasierten, in Azure ausgeführten Workloads bietet. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service-Lösung mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Azure Firewall überprüft sowohl den Ost-West- als auch den Nord-Süd-Datenverkehr.

Azure Firewall ist in drei SKUs verfügbar: Basic, Standard und Premium.

  • Azure Firewall Basic bietet vereinfachte Sicherheit ähnlich wie die Standard-SKU, aber ohne erweiterte Features.
  • Azure Firewall Standard bietet L3- bis L7-Filterung und Threat Intelligence-Feeds direkt von Microsoft Cyber Security.
  • Azure Firewall Premium umfasst erweiterte Funktionen wie signaturbasierte IDPS für schnelle Angriffserkennung durch Identifizieren bestimmter Muster.

Weitere Informationen:

Ein sicherer Remotezugriff und standortübergreifende Konnektivität

Die Einrichtung, Konfiguration und Verwaltung Ihrer Azure-Ressourcen muss remote durchgeführt werden. Darüber hinaus möchten Sie vielleicht Hybrid-IT-Lösungen bereitstellen, die Komponenten sowohl lokal als auch öffentlich in der Azure-Cloud bereitstellen. Diese Szenarien erfordern einen sicheren Remotezugriff.

Azure-Netzwerke unterstützen die folgenden Szenarien für den sicheren Remotezugriff:

  • Verbinden einzelner Arbeitsstationen mit einem virtuellen Netzwerk
  • Verbinden lokaler Netzwerke mit einem virtuellen Netzwerk per VPN
  • Verbinden lokaler Netzwerke mit einem virtuellen Netzwerk mithilfe eines dedizierten WAN-Links
  • Verbinden virtueller Netzwerke untereinander

Verbinden einzelner Arbeitsstationen mit einem virtuellen Netzwerk

Möglicherweise möchten Sie es einzelnen Entwicklern oder Betriebsmitarbeitern gestatten, virtuelle Computer und Dienste in Azure zu verwalten. Wenn Sie beispielsweise Zugriff auf einen virtuellen Computer in einem virtuellen Netzwerk benötigen, ihre Sicherheitsrichtlinie jedoch RDP- oder SSH-Remotezugriff auf einzelne virtuelle Computer verbietet, können Sie eine Point-to-Site-VPN-Verbindung verwenden.

Mit einer Point-to-Site-VPN-Verbindung können Sie eine private und sichere Verbindung zwischen dem Benutzer und dem virtuellen Netzwerk herstellen. Sobald die VPN-Verbindung hergestellt wurde, kann der Benutzer RDP oder SSH über den VPN-Link zu einem beliebigen virtuellen Computer im virtuellen Netzwerk herstellen, vorausgesetzt, er wird authentifiziert und autorisiert. Point-to-Site-VPN unterstützt:

  • Secure Socket Tunneling Protocol (SSTP): Ein proprietäres SSL-basiertes VPN-Protokoll, das Firewalls durchdringen kann, da die meisten Firewalls TCP-Port 443 öffnen, die TLS/SSL verwendet. SSTP wird auf Windows-Geräten (Windows 7 und höher) unterstützt.
  • IKEv2 VPN: Eine standardsbasierte IPsec VPN-Lösung, die zum Herstellen einer Verbindung von Mac-Geräten (OSX-Versionen 10.11 und höher) verwendet werden kann.
  • OpenVPN-Protokoll: Ein SSL/TLS-basiertes VPN-Protokoll, das Firewalls durchdringen kann, da die meisten Firewalls TCP-Port 443 ausgehend öffnen, das TLS verwendet. OpenVPN kann verwendet werden, um eine Verbindung von Android, iOS (Versionen 11.0 und höher), Windows-, Linux- und Mac-Geräten (macOS-Versionen 10.13 und höher) herzustellen. Unterstützte Versionen sind TLS 1.2 und TLS 1.3 basierend auf dem TLS-Handshake.

Weitere Informationen:

Verbinden Ihres lokalen Netzwerks mit einem virtuellen Netzwerk mit einem VPN-Gateway

Wenn Sie Ihr gesamtes Unternehmensnetzwerk oder bestimmte Segmente mit einem virtuellen Netzwerk verbinden möchten, sollten Sie ein Standort-zu-Standort-VPN verwenden. Dieser Ansatz ist in Hybrid-IT-Szenarien üblich, in denen Teile eines Diensts sowohl in Azure als auch lokal gehostet werden. Beispielsweise verfügen Sie möglicherweise über Front-End-Webserver in Azure- und Back-End-Datenbanken lokal. Standort-zu-Standort-VPNs verbessern die Sicherheit der Verwaltung von Azure-Ressourcen und ermöglichen Szenarien wie das Erweitern von Active Directory-Domänencontrollern in Azure.

Ein Standort-zu-Standort-VPN unterscheidet sich von einem Point-to-Site-VPN darin, dass es ein gesamtes Netzwerk (z. B. Ihr lokales Netzwerk) mit einem virtuellen Netzwerk verbindet und nicht nur ein einzelnes Gerät. Standort-zu-Standort-VPNs verwenden das hochsichere VPN-Protokoll für den IPsec-Tunnelmodus, um diese Verbindungen herzustellen.

Weitere Informationen:

Point-to-Site- und Standort-zu-Standort-VPN-Verbindungen sind nützlich, um die standortübergreifende Konnektivität zu ermöglichen. Sie haben jedoch einige Einschränkungen:

  • VPN-Verbindungen übertragen Daten über das Internet und stellen sie potenziellen Sicherheitsrisiken im Zusammenhang mit öffentlichen Netzwerken offen. Darüber hinaus kann die Zuverlässigkeit und Verfügbarkeit von Internetverbindungen nicht garantiert werden.
  • VPN-Verbindungen mit virtuellen Netzwerken bieten möglicherweise keine ausreichende Bandbreite für bestimmte Anwendungen, in der Regel bei ca. 200 MBit/s.

Für Organisationen, die höchste Sicherheits- und Verfügbarkeitsebene für ihre lokalen Verbindungen benötigen, werden dedizierte WAN-Verbindungen häufig bevorzugt. Azure bietet Lösungen wie ExpressRoute, ExpressRoute Direct und ExpressRoute Global Reach, um diese dedizierten Verbindungen zwischen Ihrem lokalen Netzwerk und virtuellen Azure-Netzwerken zu erleichtern.

Weitere Informationen:

Verbinden virtueller Netzwerke untereinander

Es ist möglich, aus verschiedenen Gründen mehrere virtuelle Netzwerke für Ihre Bereitstellungen zu verwenden, z. B. die Vereinfachung der Verwaltung oder die Erhöhung der Sicherheit. Unabhängig von der Motivation kann es vorkommen, dass Ressourcen in verschiedenen virtuellen Netzwerken miteinander verbunden werden sollen.

Eine Möglichkeit besteht darin, Dienste in einem virtuellen Netzwerk mit Diensten in einem anderen virtuellen Netzwerk zu verbinden, indem man über das Internet zurückschleift. Dies bedeutet, dass die Verbindung in einem virtuellen Netzwerk gestartet wird, das Internet durchläuft und dann das virtuelle Zielnetzwerk erreicht. Dies macht jedoch die Verbindung zu den Sicherheitsrisiken offen, die in der internetbasierten Kommunikation entstehen.

Eine bessere Option besteht darin, ein Standort-zu-Standort-VPN zu erstellen, das die beiden virtuellen Netzwerke verbindet. Diese Methode verwendet dasselbe IPsec-Tunnelmodusprotokoll wie die zuvor erwähnte standortübergreifende Standort-zu-Standort-VPN-Verbindung.

Der Vorteil dieses Ansatzes besteht darin, dass die VPN-Verbindung über die Azure-Netzwerk fabric hergestellt wird und eine zusätzliche Sicherheitsebene im Vergleich zu Standort-zu-Standort-VPNs bietet, die über das Internet verbunden sind.

Weitere Informationen:

Eine weitere Methode zum Verbinden Ihrer virtuellen Netzwerke ist das VNet-Peering. VNet-Peering ermöglicht die direkte Kommunikation zwischen zwei virtuellen Azure-Netzwerken über die Microsoft-Backbone-Infrastruktur, um das öffentliche Internet zu umgehen. Dieses Feature unterstützt Peering innerhalb derselben Region oder in verschiedenen Azure-Regionen. Sie können auch Netzwerksicherheitsgruppen (Network Security Groups, NSGs) verwenden, um die Konnektivität zwischen Subnetzen oder Systemen innerhalb der peered-Netzwerke zu steuern und einzuschränken.

Verfügbarkeit

Die Verfügbarkeit ist für jedes Sicherheitsprogramm von entscheidender Bedeutung. Wenn Benutzer und Systeme nicht auf erforderliche Ressourcen zugreifen können, wird der Dienst effektiv kompromittiert. Azure bietet Netzwerktechnologien, die Hochverfügbarkeitsmechanismen unterstützen, einschließlich:

  • HTTP-basierter Lastenausgleich
  • Lastenausgleich auf Netzwerkebene
  • Globaler Lastenausgleich

Der Lastenausgleich verteilt Verbindungen gleichmäßig auf mehrere Geräte, um Folgendes zu erreichen:

  • Verfügbarkeit erhöhen: Durch die Verteilung von Verbindungen bleibt der Dienst funktionsfähig, auch wenn ein oder mehrere Geräte nicht verfügbar sind. Die verbleibenden Geräte dienen weiterhin dem Inhalt.
  • Verbessern Sie die Leistung: Durch die Verteilung von Verbindungen wird die Last auf jedem einzelnen Gerät reduziert, die Verarbeitungs- und Speicheranforderungen auf mehrere Geräte verteilt.
  • Vereinfachen der Skalierung: Wenn die Nachfrage steigt, können Sie dem Lastenausgleich weitere Geräte hinzufügen, sodass mehr Verbindungen verarbeitet werden können.

HTTP-basierter Lastenausgleich

Organisationen, die webbasierte Dienste ausführen, profitieren häufig von der Verwendung eines HTTP-basierten Lastenausgleichs, um hohe Leistung und Verfügbarkeit sicherzustellen. Im Gegensatz zu herkömmlichen netzwerkbasierten Lastenausgleichsmodulen, die auf Netzwerk- und Transportschichtprotokollen basieren, treffen HTTP-basierte Lastenausgleichsgeräte Entscheidungen basierend auf HTTP-Protokolleigenschaften.

Azure-Anwendungsgateway und Azure Front Door bieten HTTP-basierten Lastenausgleich für Webdienste. Beide Dienste unterstützen:

  • Cookiebasierte Sitzungsaffinität: Stellt sicher, dass verbindungen, die mit einem Server hergestellt wurden, zwischen Client und Server konsistent bleiben, wobei die Transaktionsstabilität beibehalten wird.
  • TLS-Offload: Verschlüsselt Sitzungen zwischen dem Client und dem Lastenausgleich mithilfe von HTTPS (TLS). Um die Leistung zu verbessern, kann die Verbindung zwischen dem Lastenausgleichsmodul und dem Webserver HTTP (unverschlüsselt) verwenden, wodurch der Verschlüsselungsaufwand auf Webservern reduziert wird und sie Anforderungen effizienter verarbeiten können.
  • URL-basiertes Inhaltsrouting: Ermöglicht dem Lastenausgleich, Verbindungen basierend auf der Ziel-URL weiterzuleiten, was eine größere Flexibilität als IP-adressbasierte Entscheidungen bietet.
  • Webanwendungsfirewall: Bietet zentralisierten Schutz für Webanwendungen vor gängigen Bedrohungen und Sicherheitsrisiken.

Weitere Informationen:

Lastenausgleich auf Netzwerkebene

Im Gegensatz zum HTTP-basierten Lastenausgleich trifft der Lastenausgleich auf Netzwerkebene Entscheidungen basierend auf IP-Adressen und Portnummern (TCP oder UDP). Azure Load Balancer bietet einen Lastenausgleich auf Netzwerkebene mit den folgenden wichtigen Merkmalen:

  • Verteilt den Datenverkehr basierend auf IP-Adressen und Portnummern.
  • Unterstützt jedes Anwendungsschichtprotokoll.
  • Verteilt Datenverkehr an virtuelle Azure-Computer und Clouddienstrolleninstanzen.
  • Kann sowohl für internetgerichtete Anwendungen (externer Lastenausgleich) als auch für nicht ins Internet zugängliche Anwendungen und virtuelle Computer verwendet werden.
  • Umfasst die Endpunktüberwachung, um Dienstunverfügbarkeiten zu erkennen und darauf zu reagieren.

Weitere Informationen:

Globaler Lastenausgleich

Einige Organisationen entscheiden sich für die höchstmögliche Verfügbarkeit. Dieses Ziel ist z.B. durch das Hosten von Anwendungen in weltweit verteilten Rechenzentren erreichbar. Wenn eine Anwendung in weltweit verteilten Rechenzentren gehostet wird, kann die Anwendung selbst dann noch ausgeführt werden, wenn eine ganze geopolitische Region nicht mehr verfügbar ist.

Diese Lastenausgleichsstrategie kann zudem zu Leistungsvorteilen führen. Sie können an den Dienst gesendete Anforderungen an das Rechenzentrum weiterleiten, das sich am nächsten bei dem Gerät befindet, das die Anforderung gesendet hat.

In Azure können Sie die Vorteile des globalen Lastenausgleichs nutzen, indem Sie Azure Traffic Manager für DNS-basiertes Lastenausgleich, den globalen Lastenausgleich für den Transportschichtlastenausgleich oder Azure Front Door für HTTP-basierte Lastenausgleich verwenden.

Weitere Informationen:

Namensauflösung

Die Namensauflösung ist für alle Dienste, die in Azure gehostet werden, unerlässlich. Aus Sicherheitsgründen kann ein Kompromittieren der Name-Resolution-Funktion Angreifern das Umleiten von Anforderungen von Ihren Websites zu schädlichen Websites ermöglichen. Daher ist die sichere Namensauflösung für alle Ihre in der Cloud gehosteten Dienste von entscheidender Bedeutung.

Es gibt zwei Arten von Namensauflösung zu berücksichtigen:

  • Interne Namensauflösung: Wird von Diensten in Ihren virtuellen Netzwerken, lokalen Netzwerken oder beiden verwendet. Auf diese Namen kann nicht über das Internet zugegriffen werden. Stellen Sie sicher, dass Ihr internes Namensauflösungsschema für externe Benutzer nicht verfügbar gemacht wird.
  • Externe Namensauflösung: Wird von Personen und Geräten außerhalb Ihrer lokalen und virtuellen Netzwerke verwendet. Diese Namen sind im Internet sichtbar und stellen direkte Verbindungen zu Ihren Cloud-Diensten her.

Für die interne Namensauflösung stehen Ihnen zwei Optionen zur Verfügung:

  • DNS-Server für virtuelle Netzwerke: Wenn Sie ein neues virtuelles Netzwerk erstellen, stellt Azure einen DNS-Server bereit, der die Namen von Computern innerhalb dieses virtuellen Netzwerks auflösen kann. Dieser DNS-Server wird von Azure verwaltet und ist nicht konfigurierbar, was dazu beiträgt, Ihre Namensauflösung zu sichern.
  • Bringen Sie Ihren eigenen DNS-Server mit: Sie können einen DNS-Server Ihrer Wahl in Ihrem virtuellen Netzwerk bereitstellen. Dies kann ein integrierter Active Directory-DNS-Server oder eine dedizierte DNS-Serverlösung von einem Azure-Partner sein, der im Azure Marketplace verfügbar ist.

Weitere Informationen:

Für die externe Namensauflösung stehen Ihnen zwei Optionen zur Verfügung:

  • Das lokale Hosten Ihres eigenen externen DNS-Servers
  • Verwenden Sie einen externen DNS-Dienstanbieter.

Große Organisationen hosten häufig ihre eigenen DNS-Server lokal aufgrund ihrer Netzwerkkompetenz und der globalen Präsenz.

Für die meisten Organisationen ist die Verwendung eines externen DNS-Dienstanbieters jedoch vorzuziehen. Diese Anbieter bieten hohe Verfügbarkeit und Zuverlässigkeit für DNS-Dienste, was von entscheidender Bedeutung ist, da DNS-Fehler Ihre internetorientierten Dienste nicht erreichbar machen können.

Azure DNS bietet eine hoch verfügbare und leistungsfähige externe DNS-Lösung. Es nutzt die globale Infrastruktur von Azure, sodass Sie Ihre Domäne in Azure mit denselben Anmeldeinformationen, APIs, Tools und Abrechnung wie Ihre anderen Azure-Dienste hosten können. Darüber hinaus profitiert es von den robusten Sicherheitskontrollen von Azure.

Weitere Informationen:

Umkreisnetzwerkarchitektur

Viele große Organisationen verwenden Umkreisnetzwerke zum Segmentieren ihrer Netzwerke, um eine Pufferzone zwischen dem Internet und ihren Diensten zu erstellen. Der Umkreisbereich des Netzwerks wird als niedrige Sicherheitszone eingestuft. Daher werden keine wertvollen Ressourcen in diesem Netzwerksegment platziert. Normalerweise finden sich dort Netzwerksicherheitsgeräte, die über eine Netzwerkschnittstelle mit dem Umkreisnetzwerksegment verfügen. Eine andere Netzwerkschnittstelle ist mit einem Netzwerk mit virtuellen Computern und Diensten verbunden, die über das Internet eingehende Verbindungen akzeptieren.

Sie können Umkreisnetzwerke auf verschiedene Weise entwerfen. Die Entscheidung, ob und welche Art von Umkreisnetzwerk bereitgestellt werden soll, basiert auf Ihren Anforderungen zur Netzwerksicherheit.

Weitere Informationen:

Azure-DDoS-Schutz

Verteilte Denial-of-Service-Angriffe (DDoS) sind erhebliche Verfügbarkeits- und Sicherheitsbedrohungen für Cloudanwendungen. Diese Angriffe zielen darauf ab, die Ressourcen einer Anwendung zu verringern und sie für legitime Benutzer nicht zugänglich zu machen. Jeder öffentlich erreichbare Endpunkt kann ein Ziel sein.

Zu den DDoS Protection-Features gehören:

  • Integration der nativen Plattform: Vollständig in Azure integriert mit der über das Azure-Portal verfügbaren Konfiguration. Es versteht Ihre Ressourcen und ihre Konfigurationen.
  • Schutz der Turn-Key-Taste: Schützt automatisch alle Ressourcen in einem virtuellen Netzwerk, sobald der DDoS-Schutz aktiviert ist, ohne dass ein Benutzereingriff erforderlich ist. Die Abschwächung beginnt sofort bei der Angriffserkennung.
  • Always-On-Datenverkehrsüberwachung: Überwacht den Anwendungsdatenverkehr 24/7 auf Anzeichen von DDoS-Angriffen und initiiert Maßnahmen, wenn Schutzrichtlinien verletzt werden.
  • Berichte zur Angriffsminderung: Enthält detaillierte Informationen zu Angriffen mithilfe aggregierter Netzwerkflussdaten.
  • Flowprotokolle zur Angriffsminderung: Bietet Protokolle in Quasi-Echtzeit über verworfenen und weitergeleiteten Datenverkehr während eines aktiven DDoS-Angriffs.
  • Adaptive Optimierung: Lernt im Laufe der Zeit die Verkehrsmuster Ihrer Anwendung kennen und passt das Schutzprofil entsprechend an. Bietet Layer 3- bis Layer 7-Schutz bei Verwendung mit einer Webanwendungsfirewall.
  • Umfangreiche Risikominderungsskala: Kann mehr als 60 verschiedene Angriffstypen mit globaler Kapazität verringern, um die größten bekannten DDoS-Angriffe zu verarbeiten.
  • Angriffsmetriken: Zusammengefasste Metriken aus jedem Angriff stehen über Azure Monitor zur Verfügung.
  • Angriffswarnung: Konfigurierbare Warnungen für den Start, das Beenden und die Dauer eines Angriffs, die Integration mit Tools wie Azure Monitor-Protokollen, Splunk, Azure Storage, E-Mail und dem Azure-Portal.
  • Kostengarantie: Bietet Dienstguthaben für Datenübertragung und horizontale Anwendungsskalierung bei dokumentierten DDoS-Angriffen.
  • Schnelle Reaktion von DDoS: Ermöglicht den Zugriff auf ein Rapid Response-Team während eines aktiven Angriffs zur Untersuchung, benutzerdefinierten Entschärfungen und Nachangriffsanalyse.

Weitere Informationen:

Azure Front Door – der Dienst für Web-Traffic-Management

Azure Front Door ermöglicht Es Ihnen, das globale Routing Ihres Webdatenverkehrs zu definieren, zu verwalten und zu überwachen, um sie für leistung und hohe Verfügbarkeit zu optimieren. Es ermöglicht Ihnen, benutzerdefinierte Webanwendungsfirewallregeln (WAF) zu erstellen, um Ihre HTTP/HTTPS-Workloads vor der Ausbeutung basierend auf Client-IP-Adressen, Ländercodes und HTTP-Parametern zu schützen. Darüber hinaus unterstützt Front Door Regeln zur Begrenzung der Anfragerate, um bösartigen Bot-Datenverkehr zu bekämpfen, einschließlich TLS-Offloading, und bietet die Verarbeitung auf Anwendungsschicht pro HTTP/HTTPS-Anfrage.

Die Front Door-Plattform wird durch den DDoS-Schutz auf Azure-Infrastrukturebene geschützt. Für einen verbesserten Schutz können Sie Azure DDoS-Netzwerkschutz in Ihren VNets aktivieren, um Ressourcen von TCP/UDP-Angriffen (Network Layer) durch automatische Optimierung und Entschärfung zu schützen. Als Layer 7-Reverseproxy lässt Front Door nur Webdatenverkehr über Back-End-Server zu und blockiert andere Arten von Datenverkehr standardmäßig.

Hinweis

Für Webworkloads wird dringend empfohlen, den Azure DDoS-Schutz und eine Webanwendungsfirewall zum Schutz vor neuen DDoS-Angriffen zu verwenden. Eine weitere Option besteht darin, Azure Front Door zusammen mit einer Webanwendungsfirewall bereitzustellen. Azure Front Door bietet Schutz auf Plattformebene vor DDoS-Angriffen auf Netzwerkebene.

Weitere Informationen:

Azure Traffic Manager

Azure Traffic Manager ist ein DNS-basierter Datenverkehrslastenausgleich, der Datenverkehr an Dienste in globalen Azure-Regionen verteilt und so hohe Verfügbarkeit und Reaktionsfähigkeit gewährleistet. Es verwendet DNS, um Clientanforderungen basierend auf einer Datenverkehrsroutingmethode und der Integrität der Endpunkte an den am besten geeigneten Dienstendpunkt weiterzuleiten. Ein Endpunkt kann ein beliebiger internetorientierter Dienst sein, der innerhalb oder außerhalb von Azure gehostet wird. Traffic Manager überwacht kontinuierlich die Endpunkte und vermeidet das Weiterleiten von Datenverkehr auf alle nicht verfügbaren.

Weitere Informationen:

Überwachung und Bedrohungserkennung

Azure umfasst Funktionen zur Unterstützung in diesem wichtigen Bereich bei der frühen Erkennung, Überwachung sowie Erfassung und Überprüfung des Netzwerkdatenverkehrs.

Azure Network Watcher

Azure Network Watcher bietet Tools zum Beheben und Identifizieren von Sicherheitsproblemen.

  • Sicherheitsgruppenansicht: Überprüft die Sicherheitscompliance virtueller Computer, indem Basisrichtlinien mit effektiven Regeln verglichen werden, wodurch die Konfigurationsabweichung ermittelt wird.
  • Paketerfassung: Erfasst Netzwerkdatenverkehr an und von virtuellen Computern und unterstützt die Netzwerkstatistiksammlung und Anwendungsproblembehandlung. Sie kann auch durch Azure Functions als Reaktion auf bestimmte Warnungen ausgelöst werden.

Weitere Informationen finden Sie in der Übersicht über die Azure Network Watcher-Überwachung.

Hinweis

Die neuesten Updates zur Dienstverfügbarkeit und zum Status finden Sie auf der Azure-Updates-Seite.

Microsoft Defender für Cloud

Microsoft Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen und verschafft Ihnen mehr Transparenz und somit eine bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements, hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum an Sicherheitslösungen verwendet werden.

Mit Defender für Cloud können Sie die Netzwerksicherheit wie folgt optimieren und überwachen:

  • Angeben von Empfehlungen zur Netzwerksicherheit
  • Überwachen des Zustands der Netzwerksicherheitskonfiguration
  • Warnen vor netzwerkbasierten Bedrohungen auf Endpunkt- und Netzwerkebene

Weitere Informationen:

TAP eines virtuellen Netzwerks

Mit dem TAP (Terminal Access Point) für virtuelle Azure-Netzwerke können Sie Ihren VM-Netzwerkdatenverkehr kontinuierlich an einen Netzwerkpaketcollector oder ein Analysetool streamen. Der Collector oder das Analysetool wird von einem Partner für virtuelle Netzwerkappliances bereitgestellt. Mit derselben TAP-Ressource für virtuelle Netzwerke können Sie Datenverkehr von mehreren Netzwerkschnittstellen in der gleichen oder in unterschiedlichen Abonnements aggregieren.

Weitere Informationen:

Protokollierung

Protokollierung auf Netzwerkebene ist eine entscheidende Funktion für jedes Netzwerksicherheitsszenario. In Azure können Sie Informationen für Netzwerksicherheitsgruppen protokollieren, um Protokollierungsinformationen auf Netzwerkebene zu erhalten. Mit der NSG-Protokollierung erhalten Sie Informationen aus:

  • Aktivitätsprotokolle: In diesen Protokollen können Sie alle Vorgänge anzeigen, die an Ihre Azure-Abonnements übermittelt werden. Diese Protokolle sind standardmäßig aktiviert und können im Azure-Portal verwendet werden. Sie wurden zuvor als „Überwachungsprotokolle“ oder „Betriebsprotokolle“ bezeichnet.
  • Ereignisprotokolle: Diese Protokolle enthalten Informationen zu den angewendeten NSG-Regeln.
  • Leistungsindikatorenprotokolle: In diesen Protokollen ist aufgezeichnet, wie oft jede NSG-Regel angewendet wurde, um Datenverkehr zuzulassen oder zu verweigern.

Sie können auch das leistungsstarke Datenvisualisierungstool Microsoft Power BIverwenden, um diese Protokolle anzuzeigen und zu analysieren. Weitere Informationen: