Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Virtual Network ist der grundlegende Baustein für Ihr privates Netzwerk in Azure, sodass Azure-Ressourcen sicher miteinander kommunizieren können, das Internet und lokale Netzwerke. Bei der Bereitstellung virtueller Netzwerke müssen Sie Sicherheitskontrollen implementieren, um Ihre Netzwerkinfrastruktur zu schützen, den Datenverkehrsfluss zu steuern und nicht autorisierten Zugriff auf Ihre Ressourcen zu verhindern.
Dieser Artikel enthält Anleitungen, wie Sie Ihre Azure Virtual Network-Bereitstellung am besten sichern.
Netzwerksicherheit
Die Netzwerksicherheit für virtuelle Netzwerke konzentriert sich auf die Steuerung des Datenverkehrsflusses, die Implementierung der Netzwerksegmentierung und den Schutz vor externen Bedrohungen. Ordnungsgemäße Netzwerksicherheitskontrollen helfen dabei, Workloads zu isolieren, laterale Bewegungen zu verhindern und gegen verteilte Denial-of-Service-Angriffe zu schützen.
Segmentieren Von Workloads mit Netzwerksicherheitsgruppen (NSGs) und Anwendungssicherheitsgruppen: Wenden Sie NSGs auf Subnetze und Netzwerkschnittstellen an, um eingehenden und ausgehenden Datenverkehr basierend auf Quell-IP, Ziel-IP, Port und Protokoll zu steuern. Verwenden Sie Anwendungssicherheitsgruppen, um virtuelle Computer logisch zu gruppieren und Netzwerksicherheitsrichtlinien basierend auf der Anwendungsstruktur zu definieren. Verwenden Sie einen Ansatz "Standardmäßig ablehnen, Ausnahme zulassen", um die Angriffsfläche zu minimieren. Weitere Informationen finden Sie unter "Netzwerksicherheitsgruppen".
Aktivieren Sie NSG-Flussprotokolle für die Datenverkehrsüberwachung: Konfigurieren Sie NSG-Ablaufprotokolle, um Informationen über IP-Datenverkehr zu erfassen, die über Ihre Netzwerksicherheitsgruppen fließen. Senden Sie diese Protokolle an Azure Monitor Log Analytics, und verwenden Sie Traffic Analytics, um Netzwerkaktivitäten zu visualisieren und Sicherheitsbedrohungen zu identifizieren. Weitere Informationen finden Sie in den NSG-Ablaufprotokollen.
Bereitstellen von Azure Firewall für zentralisierten, zustandsbehafteten Schutz: Verwenden Sie Azure Firewall, um sowohl eingehenden als auch ausgehenden Datenverkehr in Ihren virtuellen Netzwerken mit vollständig zustandsbehafteter Paketüberprüfung zu steuern. Definieren und Verwalten von Anwendungs- und Netzwerkregeln im großen Maßstab mithilfe von zentralisierten Firewallrichtlinien. Azure Firewall unterstützt DNAT für sicheren eingehenden Zugriff und SNAT für eine konsistente ausgehende Konnektivität. Um die Sicherheit zu erhöhen, aktivieren Sie die auf Bedrohungsintelligenz basierende Filterung, um den Datenverkehr an bekannte schädliche IP-Adressen und Domänen automatisch zu benachrichtigen und zu verweigern, und verwenden Sie Azure Firewall Premium mit Angriffserkennungs- und Präventionssystem (IDPS), um bösartigen Netzwerkdatenverkehr zu überwachen und zu blockieren. Integrieren Sie sich in Azure Monitor, um vollständige Sichtbarkeit des Datenverkehrs und Protokollanalyse zu ermöglichen. Weitere Informationen finden Sie unter Azure Firewall.
Aktivieren Sie DDoS Protection Standard: Aktivieren Sie DDoS Protection Standard in Ihren virtuellen Netzwerken, um gegen verteilte Denial-of-Service-Angriffe zu schützen. Dieser Dienst bietet erweiterte DDoS-Entschärfungsfunktionen und Echtzeitüberwachung für Ihre öffentlichen IP-Adressen. Weitere Informationen finden Sie unter Azure DDoS Protection Standard.
Verwenden Sie Diensttags, um Sicherheitsregeln zu vereinfachen: Ersetzen Sie bestimmte IP-Adressen durch Diensttags in Ihren NSG-Regeln, um die Kommunikation mit Azure-Diensten zu ermöglichen und gleichzeitig die Sicherheit zu gewährleisten. Microsoft aktualisiert Diensttags automatisch, wenn sich IP-Bereiche ändern. Weitere Informationen finden Sie in Servicetags.
Konfigurieren sie die Paketerfassung für forensische Analysen: Aktivieren Sie die Paketerfassung auf virtuellen Computern, oder verwenden Sie die VPN-Gateway-Paketerfassung, um Netzwerkdatenverkehr für die Sicherheitsanalyse und Vorfalluntersuchung aufzuzeichnen. Weitere Informationen finden Sie unter Network Watcher-Paketerfassung.
Implementieren Sie Azure Bastion für den sicheren RDP/SSH-Zugriff: Verwenden Sie Azure Bastion, um eine sichere Verbindung mit virtuellen Computern über RDP oder SSH herzustellen, ohne sie für das öffentliche Internet verfügbar zu machen. Bastion beseitigt die Notwendigkeit öffentlicher IP-Adressen auf virtuellen Computern und reduziert die Angriffsfläche. Weitere Informationen finden Sie unter Azure Bastion.
Implementieren des Azure NAT-Gateways für ausgehenden Datenverkehr: Verwenden Sie Das Azure NAT-Gateway, um eine statische ausgehende IP-Adresse für virtuelle Netzwerkressourcen bereitzustellen, um einen sicheren und skalierbaren Ausgehenden Datenverkehr sicherzustellen. NAT-Gateway bietet auch Schutz vor Portausschöpfung. Weitere Informationen finden Sie unter Azure NAT-Gateway.
Verwenden Sie private Endpunkte und private Verknüpfungen für Azure-Dienste: Verwenden Sie azure Private Link, um auf Azure PaaS-Dienste (z. B. Azure Storage, SQL-Datenbank) über einen privaten Endpunkt in Ihrem virtuellen Netzwerk zuzugreifen. Private Link beseitigt die Gefährdung des öffentlichen Internets und verbessert die Sicherheit, indem der Datenverkehr im Azure-Backbone-Netzwerk beibehalten wird. Weitere Informationen hierzu finden Sie unter Azure Private Link.
Konfigurieren Sie Subnetze standardmäßig als privat: Für Subnetze, die keinen öffentlichen Internetzugriff erfordern, konfigurieren Sie sie als private Subnetze. Verwenden Sie bei Bedarf die Azure Firewall oder das NAT-Gateway für kontrollierten ausgehenden Zugriff. Weitere Informationen finden Sie unter Standardmäßiger ausgehender Zugriff in Azure
Wenden Sie Empfehlungen für die Härtung adaptiver Netzwerke an: Verwenden Sie die Härtung des adaptiven Netzwerks von Microsoft Defender für Cloud, um basierend auf tatsächlichen Datenverkehrsmustern und Bedrohungserkennungen machine Learning-basierte Empfehlungen zur Straffung von NSG-Regeln zu erhalten. Weitere Informationen finden Sie unter "Härtung des adaptiven Netzwerks".
Design mit tiefen Verteidigungsprinzipien: Implementieren Sie mehrere Ebenen von Netzwerksicherheitssteuerelementen, um redundanten Schutz zu schaffen. Verwenden Sie Segmentierungsstrategien, die kritische Workloads isolieren und unterschiedliche Sicherheitsmaßnahmen an jeder Netzwerkgrenze anwenden, um potenzielle Sicherheitsverletzungen zu enthalten.
Aktivieren sie die Verschlüsselung des virtuellen Netzwerks: Verwenden Sie die Azure Virtual Network-Verschlüsselung, um Daten während der Übertragung zwischen virtuellen Computern innerhalb desselben virtuellen Netzwerks und zwischen regionalen und global peered virtual networks zu verschlüsseln. Dies bietet zusätzlichen Schutz für vertrauliche Datenkommunikation. Weitere Informationen finden Sie unter Virtual Network Encryption.
Verwalten Sie aktualisierte Sicherheitsperimeter: Überprüfen und aktualisieren Sie regelmäßig Sicherheitseinstellungen, einschließlich NSGs, Anwendungssicherheitsgruppen und IP-Adressbereichen. Veraltete Regeln stimmen möglicherweise nicht mit der aktuellen Netzwerkarchitektur oder den Aktuellen Datenverkehrsmustern überein, wodurch möglicherweise Sicherheitslücken entstehen. Weitere Informationen finden Sie in der Übersicht über Netzwerksicherheitsgruppen.
Einschränken der Nutzung öffentlicher IP-Adressen: Minimieren Sie die Anzahl der öffentlichen IP-Adressen, indem Sie freigegebene öffentliche IP-Adressen von Diensten wie Azure Front Door oder Anwendungsgateway verwenden. Wenn öffentliche IPs erforderlich sind, implementieren Sie die richtige Portverwaltung und Anforderungsüberprüfung. Weitere Informationen finden Sie unter öffentliche IP-Adressen.
Identitätsverwaltung
Die Identitätsverwaltung für virtuelle Netzwerke umfasst die Steuerung des Zugriffs auf Netzwerkressourcen und stellt sicher, dass nur autorisierte Benutzer und Dienste Netzwerkkonfigurationen ändern können. Ordnungsgemäße Identitätskontrollen verhindern nicht autorisierte Netzwerkänderungen und verwalten den Sicherheitsstatus des Netzwerks.
Verwenden Sie Azure RBAC für den Netzwerkressourcenzugriff: Weisen Sie geeignete integrierte Rollen wie "Netzwerkmitwirkender" oder benutzerdefinierte Rollen mit bestimmten Berechtigungen zu, um zu steuern, wer virtuelle Netzwerke und zugehörige Ressourcen erstellen, ändern oder löschen kann. Befolgen Sie das Prinzip der geringsten Rechte. Weitere Informationen finden Sie unter Azure RBAC für Netzwerke.
Aktivieren Sie die Microsoft Entra ID-Integration in SSO: Verwenden Sie Microsoft Entra ID als zentralen Identitätsanbieter für die Verwaltung des Zugriffs auf Netzwerkressourcen und zugehörige Azure-Dienste. Implementieren Sie einmaliges Anmelden (Single Sign-On, SSO), anstatt einzelne eigenständige Anmeldeinformationen pro Dienst zu konfigurieren, um die Angriffsfläche zu reduzieren und die Kennwortanforderungen zu minimieren. Die Integration von Microsoft Entra-ID stellt eine konsistente Authentifizierung und Autorisierung in Ihrer Netzwerkinfrastruktur sicher. Weitere Informationen finden Sie unter Einmaliges Anmelden bei Anwendungen.
Implementieren des bedingten Zugriffs für Netzwerkadministratoren: Konfigurieren Sie Richtlinien für bedingten Zugriff, um eine mehrstufige Authentifizierung zu erfordern, und beschränken Sie den Zugriff auf Netzwerkverwaltungsvorgänge basierend auf Standort, Gerätekompatibilität und Risikostufe. Weitere Informationen finden Sie unter Bedingter Zugriff.
Verwenden Sie verwaltete Identitäten für Azure-Ressourcen: Aktivieren Sie verwaltete Identitäten für Azure-Ressourcen, die auf andere Azure-Dienste zugreifen müssen, ohne dass Anmeldeinformationen in Ihren virtuellen Netzwerkkonfigurationen gespeichert werden müssen. Dies bietet sichere, anmeldeinformationsfreie Authentifizierung. Weitere Informationen finden Sie unter verwaltete Identitäten.
Regelmäßige Überprüfung und Abstimmung des Benutzerzugriffs: Regelmäßige Zugriffsüberprüfungen durchführen, um Gruppenmitgliedschaften, Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient zu verwalten. Stellen Sie sicher, dass nur aktive Benutzer weiterhin Zugriff auf Netzwerkverwaltungsfunktionen haben. Weitere Informationen finden Sie unter Azure Identity Access Reviews.
Anwenden des Prinzips der geringsten Berechtigungen für Netzwerkrollen: Konfigurieren der rollenbasierten Zugriffssteuerung mit einer Einstellung ohne Zugriff für netzwerkbezogene Rollen. Stellen Sie sicher, dass Benutzer die Netzwerkeinstellungen nur nach Bedarf ändern können, um potenzielle Sicherheitsrisiken zu minimieren. Weitere Informationen finden Sie unter bewährte Methoden für Azure RBAC.
Privilegierter Zugriff
Die Verwaltung des privilegierten Zugriffs für virtuelle Netzwerke konzentriert sich auf die Sicherung administrativer Vorgänge und die Sicherstellung, dass autorisierte Mitarbeiter Netzwerkkonfigurationsänderungen mit entsprechender Aufsicht und Überwachung durchführen.
Erzwingen der mehrstufigen Authentifizierung für Netzwerkadministratoren: MFA für alle Benutzer mit Netzwerkverwaltungsberechtigungen erforderlich, um über Kennwörter hinaus eine zusätzliche Sicherheitsebene hinzuzufügen. MFA reduziert das Risiko von Angriffen auf Anmeldeinformationen erheblich. Weitere Informationen finden Sie unter Microsoft Entra-Multi-Faktor-Authentifizierung.
Verwenden Sie just-in-time-Zugriff für Netzwerkvorgänge: Implementieren Sie Microsoft Entra Privileged Identity Management, um zeitlich begrenzten Zugriff auf Netzwerkverwaltungsrollen zu ermöglichen. Der JIT-Zugriff reduziert das Gefährdungszeitfenster für sensible Anmeldeinformationen. Weitere Informationen finden Sie unter Privileged Identity Management.
Überwachen von privilegierten Netzwerkaktivitäten: Aktivieren Sie die Protokollierung und Überwachung für alle privilegierten Netzwerkvorgänge, einschließlich NSG-Änderungen, Routingtabellenänderungen und Firewallregelaktualisierungen. Verwenden Sie azure Activity Log und Azure Monitor, um administrative Aktionen nachzuverfolgen. Weitere Informationen finden Sie im Azure-Aktivitätsprotokoll.
Verwenden Sie dedizierte Administrative Konten mit Privileged Access Workstations: Erstellen Sie Standardbetriebsverfahren für die Verwendung dedizierter Verwaltungskonten. Bereitstellen von Privileged Access Workstations (PAWs) mit mehrstufiger Authentifizierung, die für Netzwerkadministratoren konfiguriert ist, um administrative Aufgaben auszuführen. PAWs bieten eine gehärtete, sichere Umgebung für die Verwaltung kritischer Netzwerkinfrastrukturen. Verwenden Sie die Identitäts- und Zugriffsverwaltung von Microsoft Defender für Cloud, um die Anzahl der Administrativen Konten zu überwachen. Weitere Informationen finden Sie unter Privileged Access Workstations.
Verwalten Des Inventars von Administratorkonten: Verwenden Sie integrierte Administratorrollen der Microsoft Entra-ID, die explizit zugewiesen werden können und abfragbar sind. Überwachen Sie regelmäßig Konten, die Mitglieder administrativer Gruppen sind, um eine ordnungsgemäße Zugriffssteuerung sicherzustellen.
Datenschutz
Der Datenschutz für virtuelle Netzwerke umfasst die Sicherung von Daten während der Übertragung über Ihre Netzwerkinfrastruktur und stellt sicher, dass die Netzwerkkommunikation verschlüsselt und vor Abfangen oder Manipulationen geschützt ist.
Aktivieren der Verschlüsselung während der Übertragung: Stellen Sie sicher, dass der gesamte Netzwerkdatenverkehr Verschlüsselungsprotokolle verwendet, z. B. TLS 1.2 oder höher, IPsec für VPN-Verbindungen und verschlüsselte Protokolle für die Anwendungskommunikation. Azure stellt standardmäßig Verschlüsselung für den Datenverkehr zwischen Azure-Rechenzentren bereit. Weitere Informationen finden Sie unter Verschlüsselung während der Übertragung.
Aktivieren Sie die Azure Virtual Network-Verschlüsselung: Verwenden Sie die Azure Virtual Network-Verschlüsselung, um Daten während der Übertragung zwischen virtuellen Computern innerhalb desselben virtuellen Netzwerks zu verschlüsseln. Dies bietet eine zusätzliche Sicherheitsebene für vertrauliche Daten. Weitere Informationen finden Sie unter Azure Virtual Network-Verschlüsselung.
Implementieren von Netzwerkzugriffssteuerelementen für vertrauliche Daten: Verwenden Sie NSGs und Azure Firewall, um den Zugriff auf Subnetze und Ressourcen einzuschränken, die vertrauliche Daten enthalten. Wenden Sie umfassende Verteidigungsprinzipien mit mehreren Ebenen von Netzwerksicherheitskontrollen an.
Aktivieren Sie MACsec für Azure ExpressRoute: Aktivieren Sie für ExpressRoute-Verbindungen MACsec (Medienzugriffssteuerungssicherheit), um Layer 2-Verschlüsselung zwischen Ihrem lokalen Netzwerk und Azure bereitzustellen, um die Vertraulichkeit und Integrität von Daten während der Übertragung sicherzustellen. Weitere Informationen finden Sie unter MACsec für ExpressRoute.
Klassifizieren von Daten basierend auf Vertraulichkeit: Weisen Sie Daten, die über Ihre virtuellen Netzwerke fließen, Vertraulichkeitsstufen zu, und implementieren Sie basierend auf diesen Klassifizierungen geeignete Netzwerksicherheitskontrollen. Verwenden Sie diese Klassifizierung, um den Netzwerkentwurf und die Sicherheitspriorisierung zu beeinflussen.
Protokollierung und Bedrohungserkennung
Umfassende Protokollierung und Bedrohungserkennung für virtuelle Netzwerke ermöglichen die Sicherheitsüberwachung, Die Reaktion auf Vorfälle und Complianceberichte. Die ordnungsgemäße Protokollierung hilft bei der Identifizierung von Sicherheitsbedrohungen und bietet forensische Funktionen für die Untersuchung von Vorfällen.
Zentrale Protokollsammlung mit Azure Monitor: Konfigurieren Von Diagnoseeinstellungen zum Senden von virtuellen Netzwerkprotokollen, NSG-Flussprotokollen und Azure Firewall-Protokollen an den Azure Monitor Log Analytics-Arbeitsbereich zur zentralen Analyse und Korrelation. Legen Sie geeignete Aufbewahrungszeiträume für Protokolle gemäß den Compliancebestimmungen Ihrer Organisation fest und verwenden Sie Azure Storage-Konten für die langfristige Archivierung von Sicherheitsprotokollen. Weitere Informationen finden Sie unter Azure Monitor.
Aktivieren Sie Microsoft Defender für Cloud: Verwenden Sie Microsoft Defender für Cloud, um Ihre virtuellen Netzwerkressourcen auf Sicherheitsfehler und Bedrohungen zu überwachen. Aktivieren Sie die erweiterten Sicherheitsfeatures für umfassenden Schutz. Weitere Informationen finden Sie unter Microsoft Defender für Cloud.
Konfigurieren von Sicherheitswarnungen und Benachrichtigungen: Einrichten von Azure Monitor-Warnungen für kritische Netzwerksicherheitsereignisse wie NSG-Regeländerungen, ungewöhnliche Datenverkehrsmuster oder Firewallblöcke. Konfigurieren Sie Aktionsgruppen, um Sicherheitsteams automatisch zu benachrichtigen. Weitere Informationen finden Sie unter Azure Monitor-Warnungen.
Verwenden Sie Microsoft Sentinel für die erweiterte Bedrohungserkennung: Verbinden Sie Ihre virtuellen Netzwerkprotokolle mit Microsoft Sentinel für erweiterte Sicherheitsanalysen, Bedrohungssuche und automatisierte Reaktionsfunktionen. Weitere Informationen finden Sie unter Microsoft Sentinel.
Aktivieren Sie die umfassende Protokollierung für Netzwerkressourcen: Aktivieren Sie die Diagnoseprotokollierung für virtuelle Netzwerke, Lastenausgleichsgeräte und andere Netzwerkkomponenten, um Konfigurationsänderungen und Zugriffsmuster zu erfassen. Konfigurieren Sie die DNS-Abfrageprotokollierung für Azure DNS oder benutzerdefinierte DNS-Server, um DNS-basierte Angriffe und Datenexfiltrationsversuche zu erkennen. Überwachen Sie verdächtige Domänenabfragen und DNS-Tunnelingaktivitäten.
Überwachen und Analysieren von Protokollen mit UEBA: Überprüfen Sie regelmäßig Protokolle auf anomales Verhalten und Sicherheitsereignisse. Verwenden Sie den Log Analytics-Arbeitsbereich von Azure Monitor, um Analysen zu Sicherheitsdaten abzufragen und auszuführen. Implementieren Sie Benutzer- und Entitätsverhaltensanalysen (UEBA)-Tools, um das Benutzerverhalten von Überwachungsdaten zu sammeln und zu analysieren, um anomale Benutzerzugriffsmuster zu erkennen, die sicherheitsbedrohungen darstellen können.
Vermögensverwaltung
Die Bestandsverwaltung für virtuelle Netzwerke umfasst die Aufrechterhaltung eines Inventars von Netzwerkressourcen, die Implementierung von Governancerichtlinien und die Sicherstellung der Einhaltung von Sicherheitsstandards. Effektive Bestandsverwaltung trägt dazu bei, den Sicherheitsstatus aufrechtzuerhalten und eine schnelle Reaktion auf Sicherheitsvorfälle zu ermöglichen.
Verwenden Sie Azure-Richtlinie für Governance- und Ressourceneinschränkungen: Stellen Sie Azure-Richtliniendefinitionen bereit, um Sicherheitsstandards für virtuelle Netzwerke zu erzwingen. Diese Richtlinien können NSGs für Subnetze erfordern, bestimmte Sicherheitsregeln festlegen oder die Erstellung öffentlicher IPs verhindern. Verwenden Sie integrierte Richtliniendefinitionen wie "Nicht zulässige Ressourcentypen" und "Zulässige Ressourcentypen", um die Ressourcenerstellung einzuschränken. Weitere Informationen finden Sie unter Azure-Richtlinie für virtuelle Netzwerke.
Netzwerkressourcen für die Organisation kennzeichnen: Wenden Sie konsistente Taggingstrategien auf virtuelle Netzwerke, Subnetze, NSGs und zugehörige Ressourcen an, um die ordnungsgemäße Organisation, Kostenverwaltung und die Durchsetzung von Sicherheitsrichtlinien zu ermöglichen. Verwenden Sie Tags und das Beschreibungsfeld in NSG-Regeln, um geschäftlichen Bedarf, Dauer und andere Informationen für Sicherheitsregeln anzugeben, um Sicherheitsprüfungen und Regelverwaltung zu unterstützen. Weitere Informationen finden Sie unter Resource Tagging.
Überwachen von Ressourcenkonfigurationsänderungen: Verwenden Sie Azure Resource Graph, um alle Netzwerkressourcen in Abonnements abzufragen und zu ermitteln. Richten Sie Warnungen für nicht autorisierte Änderungen an kritischen Netzwerkkonfigurationen ein. Weitere Informationen finden Sie unter Azure Resource Graph.
Implementieren Sie standardisierte Konfigurationsverwaltung: Verwenden Sie Azure Resource Manager-Vorlagen oder Bicep, um Netzwerkkonfigurationen konsistent zu definieren und bereitzustellen. Verwenden Sie Azure Blueprints, um umfangreiche Azure-Bereitstellungen zu vereinfachen, indem Schlüsselumgebungsartefakte wie Azure Resource Manager-Vorlagen, rollenbasierte Zugriffssteuerungszuweisungen und Richtlinien in einer einzigen Blueprintdefinition verpackt werden. Speichern Sie Vorlagen in der Versionssteuerung und implementieren Sie Änderungsverwaltungsprozesse für Netzwerkänderungen. Weitere Informationen finden Sie unter Azure Blueprints.
Verwalten genehmigter Ressourceninventare: Erstellen und Verwalten von Inventaren genehmigter Azure-Ressourcen und genehmigter Konfigurationen für Ihre Netzwerkumgebung. Überwachen Sie regelmäßig Bereitstellungen, um die Einhaltung genehmigter Basispläne sicherzustellen.
Sicherheitstests
Sicherheitstests für virtuelle Netzwerke stellen sicher, dass implementierte Sicherheitskontrollen ordnungsgemäß funktionieren und potenzielle Bedrohungen erkennen und verhindern können. Regelmäßige Tests überprüfen die Effektivität Ihres Netzwerksicherheitsstatus.
Führen Sie regelmäßige Penetrationstests durch: Führen Sie regelmäßige Penetrationstests durch, die von Experten außerhalb des Workloadteams durchgeführt werden, die versuchen, die Netzwerkinfrastruktur ethisch zu hacken. Diese Tests überprüfen Die Sicherheitsmaßnahmen, indem reale Angriffe simuliert werden.
Implementieren Von Sicherheitsrisikoüberprüfungen: Führen Sie routine- und integrierte Sicherheitsrisikoüberprüfung aus, um Exploits in der Netzwerkinfrastruktur, virtuellen Computern und Netzwerkgeräten zu erkennen. Integrieren Sie Scanner in Bereitstellungspipelinen, um Sicherheitsrisiken automatisch zu erkennen.
Testverfahren zur Reaktion auf Vorfälle: Führen Sie Übungen durch, um Ihre Funktionen zur Reaktion auf Netzwerksicherheitsvorfälle regelmäßig zu testen. Identifizieren Sie Schwachstellen und Lücken in Ihren Verfahren zur Reaktion auf die Netzwerksicherheit, und überarbeiten Sie die Pläne nach Bedarf.
Überprüfen der Netzwerksegmentierung: Testen Sie regelmäßig Steuerelemente für die Netzwerksegmentierung, um sicherzustellen, dass kompromittierte Ressourcen in einem Segment nicht auf Ressourcen in anderen Segmenten zugreifen können. Stellen Sie sicher, dass Isolationsgrenzen wie entworfen funktionieren.
Testen Sie Sicherungs- und Wiederherstellungsverfahren: Testen Sie regelmäßig, ob Sie virtuelle Netzwerkkonfigurationen aus exportierten Vorlagen oder Dokumentationen neu erstellen können, um sicherzustellen, dass Wiederherstellungsprozeduren ordnungsgemäß funktionieren und Wiederherstellungszeitziele erfüllen.
Aktivieren Sie "Virtual Network Verifier": Verwenden Sie "Virtual Network Verifier" in Azure Virtual Network Manager in Vorproduktionsumgebungen, um die Konnektivität zwischen Ressourcen zu testen und sicherzustellen, dass sie erreichbar und nicht durch Richtlinien blockiert werden können. Weitere Informationen finden Sie unter Virtual Network Verifier.
Verwenden Sie Azure Chaos Studio für Resilienztests: Implementieren Sie Azure Chaos Studio, um Netzwerkkonnektivitätsunterbrechungen zu simulieren und zu überprüfen, ob Sicherheitskontrollen während Ausfallszenarien wirksam bleiben. Dadurch wird sichergestellt, dass Sicherheitsmechanismen auch dann weiterhin ordnungsgemäß funktionieren, wenn das Netzwerk Stress oder teilweise Ausfälle erlebt. Weitere Informationen finden Sie unter Azure Chaos Studio.
Sicherung und Wiederherstellung
Sicherung und Wiederherstellung für virtuelle Netzwerke konzentrieren sich auf die Beibehaltung von Netzwerkkonfigurationen und die schnelle Wiederherstellung der Netzwerkkonnektivität, wenn versehentliche Löschungen oder Konfigurationsfehler auftreten. Während virtuelle Netzwerke selbst keine herkömmlichen Sicherungen erfordern, ist die Erhaltung der Konfiguration von entscheidender Bedeutung.
Exportieren und Schützen von Netzwerkkonfigurationen: Verwenden Sie Azure Resource Manager, um virtuelle Netzwerkkonfigurationen als Vorlagen zu exportieren, die für die Notfallwiederherstellung gespeichert und verwendet werden können. Automatisieren Sie diesen Prozess mithilfe von Azure Automation oder Azure Pipelines. Verwenden Sie Azure DevOps, um Ihren Code wie benutzerdefinierte Azure-Richtliniendefinitionen und Azure Resource Manager-Vorlagen sicher zu speichern und zu verwalten. Aktivieren Sie Soft-Delete und den Löschschutz im Key Vault, um Schlüssel vor versehentlichem oder böswilligem Löschen zu schützen. Weitere Informationen finden Sie unter Exportieren von Vorlagen.
Dokumentnetzwerkarchitektur: Verwalten Sie umfassende Dokumentation ihres Netzwerkentwurfs, einschließlich IP-Adressschemas, Routingtabellen, Sicherheitsgruppenregeln und Konnektivitätsanforderungen. Speichern Sie diese Dokumentation an einem sicheren, barrierefreien Speicherort.
Testen und Überprüfen von Wiederherstellungsprozeduren: Testen Sie regelmäßig, ob Sie virtuelle Netzwerkkonfigurationen aus exportierten Vorlagen oder Dokumentationen neu erstellen können, um sicherzustellen, dass Wiederherstellungsprozeduren ordnungsgemäß funktionieren und wiederherstellungszeitziele erfüllt werden. Führen Sie regelmäßig die Bereitstellung von Azure Resource Manager-Vorlagen in einem isolierten Abonnement aus, und testen Sie die Wiederherstellung gesicherter vom Kunden verwalteter Schlüssel, um sicherzustellen, dass Wiederherstellungsprozeduren ordnungsgemäß funktionieren.
Sichern von verbundenen Ressourcen und vom Kunden verwalteten Schlüsseln: Während virtuelle Netzwerke keine Sicherung erfordern, stellen Sie sicher, dass virtuelle Computer und andere mit Ihren Netzwerken verbundene Ressourcen ordnungsgemäß mit Azure Backup gesichert werden, um vollständige Wiederherstellungsfunktionen aufrechtzuerhalten. Wenn Sie kundenverwaltete Schlüssel für die Verschlüsselung in Ihrer virtuellen Netzwerkumgebung verwenden, stellen Sie sicher, dass diese Schlüssel in Azure Key Vault mit den entsprechenden Aufbewahrungs- und Wiederherstellungsverfahren gesichert werden. Weitere Informationen finden Sie unter Azure Backup.
Vorbereiten redundanter Netzwerkinfrastruktur: Doppelte Netzwerkinfrastruktur im Voraus, insbesondere für Hybrid-Setups. Stellen Sie sicher, dass separate Routen in verschiedenen Regionen vorab miteinander kommunizieren können. Replizieren und Verwalten konsistenter NSGs und Azure Firewall-Regeln auf primären und Notfallwiederherstellungswebsites. Vermeiden Sie überlappende IP-Adressbereiche zwischen Produktions- und Notfallwiederherstellungsnetzwerken, um die Netzwerkverwaltung zu vereinfachen und den Übergang während Failoverereignissen zu beschleunigen.
Reaktion auf Vorfälle
Die Reaktion auf Vorfälle für virtuelle Netzwerke umfasst die Einrichtung von Verfahren zum Erkennen, Reagieren und Wiederherstellen von Sicherheitsvorfällen, die sich auf Ihre Netzwerkinfrastruktur auswirken. Die richtigen Funktionen zur Reaktion auf Vorfälle tragen dazu bei, die Auswirkungen von Sicherheitsverletzungen zu minimieren und eine schnelle Wiederherstellung von Diensten sicherzustellen.
Erstellen Sie einen Leitfaden zur Reaktion auf Vorfälle: Erstellen Sie einen Leitfaden zur Reaktion auf Vorfälle für Ihre Organisation, der alle Rollen von Personal und Phasen der Vorfallbehandlung von der Erkennung bis zur Überprüfung nach dem Vorfall definiert. Fügen Sie spezifische Verfahren für Netzwerksicherheitsvorfälle ein.
Implementieren Sie die Bewertung und Priorisierung von Vorfällen: Richten Sie Verfahren ein, um Sicherheitsvorfälle basierend auf Schweregrad und Auswirkungen zu priorisieren. Verwenden Sie Microsoft Defender für Cloud-Warnungen, um zu priorisieren, welche Netzwerksicherheitsvorfälle zuerst untersucht werden sollten.
Konfigurieren von Kontaktdetails zu Sicherheitsvorfällen: Richten Sie Kontaktinformationen für Sicherheitsvorfälle ein, die von Microsoft verwendet werden, um Sie zu kontaktieren, wenn das Microsoft Security Response Center feststellt, dass Auf Ihre Daten von einer rechtswidrigen oder nicht autorisierten Partei zugegriffen wurde. Weitere Informationen finden Sie unter Microsoft Defender für Cloud Security Contact.
Integrieren Sie Sicherheitswarnungen in die Reaktion auf Vorfälle: Exportieren Sie Microsoft Defender für Cloud-Warnungen und Empfehlungen mithilfe des Features "Fortlaufender Export", um Risiken für Azure-Ressourcen zu identifizieren. Verwenden Sie den Datenconnector, um Warnungen zur zentralen Ereignisverwaltung an Microsoft Sentinel zu streamen.
Testen Sie Verfahren zur Reaktion auf Sicherheitsrisiken: Führen Sie Übungen durch, um die Reaktionsfunktionen Ihrer Systeme regelmäßig zu testen. Identifizieren Sie Schwachstellen und Lücken in Ihren Verfahren zur Reaktion auf die Netzwerksicherheit, und überarbeiten Sie die Pläne nach Bedarf.
Automatisieren sie die Reaktion auf Vorfälle: Verwenden Sie das Feature "Workflowautomatisierung" in Microsoft Defender für Cloud, um antworten automatisch über Logic Apps zu Sicherheitswarnungen und Empfehlungen auszulösen, um Ihre Azure-Netzwerkressourcen zu schützen.