Übersicht – Anwendung der Zero Trust-Prinzipien auf Azure IaaS
Artikel
Hinweis
Bevorstehender Livestream Schließen Sie sich dem Azure FastTrack-Team an, welches diesen Artikel bespricht. 23. Oktober 2024 | 19:00–20:00 Uhr (UTC+02:00) Mitteleuropäische Zeit (Deutschland). Registrieren Sie sich hier.
Zusammenfassung: Um Zero Trust-Prinzipien auf Azure IaaS-Komponenten und -Infrastruktur anzuwenden, müssen Sie zunächst die allgemeine Referenzarchitektur und die Komponenten von Azure-Speicher, virtuellen Computern und virtuellen Hub-and-Spoke-Netzwerken verstehen.
Diese Artikelserie hilft Ihnen, die Prinzipien von Zero Trust auf Ihre Workloads in Microsoft Azure IaaS anzuwenden, basierend auf einem multidisziplinären Ansatz zur Anwendung der Zero Trust-Prinzipien. Zero Trust ist eine Sicherheitsstrategie. Es handelt sich nicht um ein Produkt oder einen Dienst, sondern um einen Entwurfs- und Implementierungsansatz für die folgenden Sicherheitsprinzipien.
Explizit verifizieren
Geringstmögliche Zugriffsberechtigungen verwenden
Von einer Sicherheitsverletzung ausgehen
Die Umsetzung des Zero-Trust-Gedankens, d. h. „Verstöße erwarten, niemals vertrauen, immer verifizieren“, erfordert Änderungen an der Cloud-Infrastruktur, der Bereitstellungsstrategie und der Implementierung.
Diese ersten fünf Artikel (einschließlich dieser Einführung) zeigen Ihnen, wie Sie den Zero Trust-Ansatz auf ein gemeinsames IT-Geschäftsszenario basierend auf Infrastrukturdiensten anwenden. Die Arbeit ist in Einheiten unterteilt, die wie folgt zusammen konfiguriert werden können:
Zukünftig werden weitere Artikel zu dieser Reihe hinzugefügt, darunter wie Unternehmen einen Zero Trust-Ansatz auf Anwendungen, Netzwerken, Daten und DevOps-Diensten anwenden können, die auf realen IT-Geschäftsumgebungen basieren.
Wichtig
In diesem Zero Trust-Leitfaden wird beschrieben, wie Sie mehrere in Azure verfügbare Sicherheitslösungen und -funktionen für eine Referenzarchitektur verwenden und konfigurieren. Mehrere andere Ressourcen bieten ebenfalls Sicherheitshinweise für diese Lösungen und Funktionen, darunter:
Um zu beschreiben, wie ein Zero Trust-Ansatz angewendet wird, zielt dieser Leitfaden auf ein gängiges Muster ab, das von vielen Organisationen in der Produktion verwendet wird: eine auf einer virtuellen Maschine basierende Anwendung, die in einem VNet (und einer IaaS-Anwendung) gehostet wird. Dies ist ein gängiges Muster für Organisationen, die lokale Anwendungen nach Azure migrieren, das manchmal als „Lift-and-Shift“ bezeichnet wird. Die Referenzarchitektur enthält alle Komponenten, die zur Unterstützung dieser Anwendung erforderlich sind, einschließlich Speicherdienste und einem Hub-VNet.
Die Referenzarchitektur spiegelt ein gängiges Bereitstellungsmuster in Produktionsumgebungen wider. Sie basiert nicht auf den im Cloud Adoption Framework (CAF) empfohlenen Zielzonen im Unternehmen, obwohl viele der bewährten Methoden in der Referenzarchitektur enthalten sind, z. B. die Verwendung eines dedizierten VNet zum Hosten von Komponenten, die den Zugriff auf die Anwendung (Hub-VNet) brokern.
Wenn Sie mehr über die in den Azure-Zielzonen des Cloud Adoption Framework empfohlenen Anleitungen erfahren möchten, sehen Sie sich die folgenden Ressourcen an:
Die folgende Abbildung zeigt die Referenzarchitektur für diese Zero Trust-Anleitung.
Diese Architektur enthält:
Mehrere IaaS-Komponenten und -Elemente, einschließlich verschiedener Arten von Benutzern und IT-Verbrauchern, die von verschiedenen Standorten aus auf die App zugreifen. wie Azure, das Internet, lokal und Zweigstellen.
Eine übliche dreistufige Anwendung, die eine Front-End-Stufe, eine Anwendungsstufe und eine Datenstufe enthält. Alle Stufen werden auf virtuellen Maschinen innerhalb eines VNet namens SPOKE ausgeführt. Der Zugriff auf die App wird durch ein weiteres VNet namens HUB geschützt, das zusätzliche Sicherheitsdienste enthält.
Einige der am häufigsten verwendeten PaaS-Dienste in Azure, die IaaS-Anwendungen unterstützen, einschließlich rollenbasierter Zugriffssteuerung (RBAC) und Microsoft Entra ID, die zum Zero Trust-Sicherheitsansatz beitragen.
Speicher-Blobs und Speicherdateien, die Objektspeicher für die von Benutzern freigegebenen Anwendungen und Dateien bereitstellen.
In dieser Artikelreihe werden die Empfehlungen für die Implementierung von Zero Trust für die Referenzarchitektur erläutert, indem jedes dieser größeren Teile, die in Azure gehostet werden, wie hier gezeigt, angesprochen wird.
Das Diagramm skizziert die größeren Bereiche der Architektur, die in jedem Artikel dieser Reihe behandelt werden:
Es ist wichtig zu beachten, dass die Anleitungen in dieser Artikelreihe spezifischer für diese Art von Architektur sind als die Anleitungen in den Architekturen Framework zur Cloud-Einführung und Azure-Zielzone. Wenn Sie die Anleitungen in einer dieser Ressourcen angewendet haben, lesen Sie auch diese Artikelreihe, um weitere Empfehlungen zu erhalten.
Informationen zu Azure-Komponenten
Das Referenzarchitekturdiagramm bietet eine topologische Ansicht der Umgebung. Es ist auch von Vorteil, logisch zu sehen, wie jede der Komponenten innerhalb der Azure-Umgebung organisiert werden kann. Das folgende Diagramm bietet eine Möglichkeit, Ihre Abonnements und Ressourcengruppen zu organisieren. Ihre Azure-Abonnements sind möglicherweise anders organisiert.
In diesem Diagramm ist die Azure-Infrastruktur in einem Microsoft Entra ID-Mandanten enthalten. In der folgenden Tabelle werden die verschiedenen Abschnitte beschrieben, die im Diagramm angezeigt werden.
Azure-Abonnements
Sie können die Ressourcen in mehr als einem Abonnement verteilen, wobei jedes Abonnement unterschiedliche Rollen innehaben kann, z. B. ein Netzwerkabonnement oder ein Sicherheitsabonnement. Dies wird in der zuvor genannten Dokumentation zum Framework zur Cloud-Einführung und zur Azure-Zielzone beschrieben. Die verschiedenen Abonnements können auch unterschiedliche Umgebungen enthalten, z. B. Produktions-, Entwicklungs- und Testumgebungen. Es hängt davon ab, wie Sie Ihre Umgebung und die Anzahl der Ressourcen trennen möchten, die Sie jeweils haben. Mithilfe einer Verwaltungsgruppe können ein oder mehrere Abonnements gemeinsam verwaltet werden. Dadurch können Sie Berechtigungen mit rollenbasierter Zugriffssteuerung (RBAC) und Azure-Richtlinien auf eine Gruppe von Abonnements anwenden, anstatt jedes Abonnement einzeln einzurichten.
Microsoft Defender für Cloud und Azure Monitor
Für jedes Azure-Abonnement ist eine Reihe von Azure Monitor-Lösungen und Defender für Cloud verfügbar. Wenn Sie diese Abonnements über eine Verwaltungsgruppe verwalten, können Sie alle Funktionen von Azure Monitor und Defender for Cloud in einem einzigen Portal zusammenfassen. Die von Defender for Cloud bereitgestellte Sicherheitsbewertung wird beispielsweise für alle Ihre Abonnements konsolidiert, wobei eine Verwaltungsgruppe als Bereich verwendet wird.
Speicherressourcengruppe (1)
Das Speicherkonto ist in einer dedizierten Ressourcengruppe enthalten. Sie können jedes Speicherkonto in einer anderen Ressourcengruppe isolieren, um eine detailliertere Berechtigungskontrolle zu erreichen. Azure-Speicherdienste sind in einem dedizierten Speicherkonto enthalten. Sie können für jede Art von Speicher-Workload ein Speicherkonto haben, zum Beispiel einen Objektspeicher (auch Blob-Speicher genannt) und Azure Files. Dies ermöglicht eine detailliertere Zugriffskontrolle und kann die Leistung verbessern.
Virtuelle Maschinen-Ressourcengruppe (2)
Virtuelle Maschinen sind in einer Ressourcengruppe enthalten. Sie können auch jeden virtuellen Maschinentyp für Arbeitslastebenen wie Front-End, Anwendung und Daten in verschiedenen Ressourcengruppen haben, um die Zugriffskontrolle weiter zu isolieren.
Spoke- (3) und Hub-VNet-Ressourcengruppen (4) in separaten Abonnements
Das Netzwerk und andere Ressourcen für jedes der VNets in der Referenzarchitektur sind in dedizierten Ressourcengruppen für Spoke- und Hub-VNets isoliert. Diese Organisation funktioniert gut, wenn die Verantwortung dafür bei verschiedenen Teams liegt. Eine andere Möglichkeit besteht darin, diese Komponenten zu organisieren, indem alle Netzwerkressourcen in einer Ressourcengruppe und Sicherheitsressourcen in einer anderen zusammengefasst werden. Es hängt davon ab, wie Ihre Organisation für die Verwaltung dieser Ressourcen eingerichtet ist.
Bedrohungsschutz mit Microsoft Defender für Cloud
Microsoft Defender für Cloud ist eine erweiterte Erkennungs- und Reaktionslösung (XDR), die automatisch Signal-, Bedrohungs- und Warndaten aus Ihrer gesamten Umgebung sammelt, korreliert und analysiert. Defender for Cloud sollte zusammen mit Microsoft Defender XDR verwendet werden, um einen umfassenderen, korrelierten Schutz Ihrer Umgebung zu gewährleisten, wie im folgenden Diagramm dargestellt.
In der Abbildung:
Defender für Cloud ist für eine Verwaltungsgruppe aktiviert, die mehrere Azure-Abonnements umfasst.
Microsoft Defender XDR ist für Microsoft 365-Apps und -Daten, SaaS-Apps, die in Microsoft Entra ID integriert sind, und lokale Active Directory Domain Services (AD DS) Server aktiviert.
Weitere Informationen zum Konfigurieren von Verwaltungsgruppen und zum Aktivieren von Defender für Cloud finden Sie unter:
Bei Zero Trust werden mehrere Disziplinen der Sicherheit und des Informationsschutzes gemeinsam angewendet. In dieser Artikelserie wird dieser multidisziplinäre Ansatz wie folgt auf jede der Arbeitseinheiten für Infrastrukturkomponenten angewendet:
Konfigurieren Sie das Netzwerk-Gateway-Routing zur Firewall
Konfigurieren Sie den Bedrohungsschutz
Technische Illustrationen
Diese Abbildungen sind Replikate der Referenzabbildungen in diesen Artikeln. Laden Sie diese für Ihre eigene Organisation und Ihre Kunden herunter, und passen Sie sie an. Ersetzen Sie das Contoso-Logo durch Ihre eigene.
Die Schulung zu Microsoft Azure-Grundlagen besteht aus drei Lernpfaden: „Microsoft Azure-Grundlagen: Beschreiben von Cloudkonzepten“, „Beschreiben der Azure-Architektur und -Dienste“ und „Beschreiben der Azure-Verwaltung und -Governance“. Microsoft Azure-Grundlagen: Das Beschreiben von Azure-Verwaltung und -Governance ist der dritte Lernpfad in Microsoft Azure-Grundlagen. In diesem Lernpfad werden die verfügbaren Verwaltungs- und Governanceressourcen zum Verwalten Ihrer Cloud- und lokalen Ressourcen untersucht. Dieser Lernpfad hilft Ihnen, sich auf die Prüfung AZ-900: Microsoft Azure Fundamentals vorzubereiten.
Nachdem Sie Ihre Azure-Umgebung bereitgestellt und abgesichert haben, lernen Sie, die Sicherheit Ihrer Lösungen zu überwachen, zu betreiben und kontinuierlich zu verbessern. Dieser Lernpfad hilft Ihnen, sich auf die Prüfung AZ-500: Microsoft Azure Security Technologies vorzubereiten.
In diesem Lernpfad geht es um das Schützen Ihrer Azure-Ressourcen. Nach Abschluss dieses Lernpfads können Sie bestimmen, ob Ihre Azure-IaaS-Workloads Sicherheitsrisikos aufweisen und diese potenziellen Sicherheitsrisikos beheben.
Demonstrieren Sie die erforderlichen Qualifikationen, um Sicherheitskontrollen zu implementieren, den Sicherheitsstatus einer Organisation zu gewährleisten und Sicherheitsrisiken zu identifizieren und zu beheben.
Aufgrund der Cloud, mobiler Geräte und anderer Endpunkte, die Grenzen erweitern und Paradigmen ändern, muss nicht unbedingt ein eigenständiges bzw. definiertes Netzwerk geschützt werden. Stattdessen gibt es ein großes Portfolio von Geräten und Netzwerken, die alle mit der Cloud verknüpft sind.