Schützen Ihrer Azure-Ressourcen vor destruktiven Cyberangriffen

Dieser Artikel enthält Schritte zum Anwenden der Prinzipien von Zero Trust, um Ihre Microsoft Azure-Ressourcen auf folgende Weise vor destruktiven Cyberangriffen zu schützen:

Zero Trust-Prinzip	Definition
Explizit verifizieren	Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten.
Geringstmögliche Zugriffsberechtigungen verwenden	Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz.
Von einer Sicherheitsverletzung ausgehen	Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern. Verbessern Sie Schutzmaßnahmen mit Ressourcensperren, Sicherungen und Notfallwiederherstellung für virtuelle Computer, Datenschutz- und Datenverfügbarkeitsdienste sowie den Schutz Ihrer Wiederherstellungsinfrastruktur, konfigurationsbasierten Dienste und Plattformautomatisierung und DevOps-Tools. Verwenden Sie für die Bedrohungserkennung Microsoft Sentinel und die erweiterte Multistage-Erkennung, und bereiten Sie Ihre Pläne zur Reaktion auf Vorfälle für Azure-Ressourcen vor.

Dieser Artikel enthält Anleitungen mit denen Sie:

• Ihre Microsoft Azure-Ressourcen vor destruktiven Cyberangriffen schützen.
• Cyberangriffe erkennen, wenn sie auftreten.
• Lernen, wie sie auf sie reagieren.

Dieser Artikel richtet sich an technische Implementierungen zur Unterstützung des Szenarios zur Verhinderung von Sicherheitsverletzungen und zur Wiederherstellung der Infrastruktur Zero Trust.

Referenzarchitektur

Die folgende Abbildung zeigt die Referenzarchitektur für diese Zero Trust-Anleitung mit Gruppierungen für jede Schutzkategorie.

Diese Azure-Umgebung umfasst:

Komponente	Beschreibung
A	Virtuelle Computer und ihre Dateien
b	Datendienste und deren Daten
K	Wiederherstellungsinfrastruktur, einschließlich Dateien und Vorlagen und Automatisierungsskripts
D	Konfigurationsbasierte Dienste
E	Plattformautomatisierung und DevOps-Tools (nicht angezeigt)

Aufgaben zum Schutz der einzelnen Ressourcentypen werden in Schritt 1 dieses Artikels ausführlich beschrieben.

Was ist in diesem Artikel enthalten?

In diesem Artikel werden die Schritte zur Anwendung der Prinzipien von Zero Trust in der Referenzarchitektur beschrieben.

Schritt	Task
1	Konfigurieren des Schutzes vor Cyberangriffen.
2	Konfigurieren der Erkennung von Cyberangriffen.
3	Vorbereitung der Pläne zur Reaktion auf Vorfälle vor.

Schritt 1: Konfigurieren des Schutzes vor Cyberangriffen

Viele Organisationen implementieren Sicherungs- und Notfallwiederherstellungslösungen für ihre virtuellen Azure-Computer im Rahmen eines Migrationsaufwands. Sie können beispielsweise native Azure-Lösungen verwenden oder sich dafür entscheiden, eigene Drittanbieterlösungen für Ihr Cloud-Ökosystem einzusetzen.

Während der Schutz virtueller Computer und deren Apps und Daten wichtig ist, ist es auch wichtig, den Umfang des Schutzes über virtuelle Computer hinaus zu erweitern. Dieser Abschnitt enthält eine Übersicht über Überlegungen und Empfehlungen zum Schutz verschiedener Arten von Ressourcen in Azure vor einem destruktiven Cyberangriff.

Zusätzlich zu den dienstspezifischen Überlegungen sollten Sie die Verwendung von Ressourcensperren in Betracht ziehen, um das Löschen von Diensten zu verhindern, indem Sie ihre Verwaltungsebene schützen. Sie können auch Ressourcensperren verwenden, um Ressourcen schreibgeschützt zu rendern. Ressourcensperren arbeiten mit kontrolliertem Zugriff, um die Wahrscheinlichkeit zu verringern, dass Azure-Ressourcen in einem Cyberangriff zerstört werden, indem sie ihre Änderung oder Zerstörung verhindern.

Um zu verhindern, dass Ressourcensperren unerwartete Ergebnisse produzieren, sollten Sie die Hinweise vor dem Anwenden Ihrer Sperren überprüfen, um sicherzustellen, dass Sie die Sperren auf die entsprechenden Ressourcen auf eine Weise anwenden, die deren Funktionsfähigkeit weiterhin ermöglicht. Das Sperren eines virtuellen Netzwerks (VNet) anstelle einer gesamten Ressourcengruppe kann z. B. verhindern, dass die Sperre für andere Ressourcen innerhalb der Ressourcengruppe zu restriktiv ist. Aufgrund dieser Überlegungen sollten Sie das Sperren von Ressourcen priorisieren, die bei Änderung oder Löschung die meisten Unterbrechungen verursachen würden.

Sperren können auch einige Überlegungen für die Wiederherstellungszeitziele für Arbeitslasten haben, die fehlgeschlagen sind. Ihr Notfallwiederherstellungsplan sollte die Sperren berücksichtigen, und Sie sollten ein getestetes Verfahren für die Entfernung von Sperren auf kontrollierte Weise haben. Sie müssen Ihre Administratoren und SecOps-Mitarbeiter schulen, wie Sie Sperren sowohl im täglichen Betrieb als auch in Notfallszenarien verwalten können.

Administratoren mit Zugriff auf die Entfernung der Sperren sollten eingeschränkt sein und JIT-Zugriff umfassen, z. B. der mit Microsoft Entra Privileged Identity Management bereitgestellten. Der Zugriff auf Änderungssperren für Ressourcen wird mit dem Bereich "Microsoft.Authorization/locks/*" gesteuert und sollte nicht als Teil des ständigen Zugriffs gewährt werden.

A. Schutz für virtuelle Computer

Für Workloads auf Basis virtueller Maschinen, einschließlich Skalierungsgruppen und Kubernetes-Clustern, müssen Sie zusätzlich zur Verwendung von Ressourcensperren in der Verwaltungsebene zwei Schutzebenen einplanen.

Zunächst müssen Sie die Sicherung der Daten von den virtuellen Computern planen, damit Sie verlorene Daten wiederherstellen können, wenn ein Angriff auftritt, der den Azure Kubernetes-Dienst (AKS) enthält. Außerdem müssen Sie die gesicherten Daten selbst vor Angriffen schützen, indem Sie Steuerelemente zum Vorläufigen Löschen verwenden. Informationen zum Konfigurieren von Sicherungen finden Sie unter:

• Erstellen und Konfigurieren von Recovery Services-Tresoren
• Sichern eines virtuellen Computers in Azure
• Konfigurieren der Sicherung für einen Azure Kubernetes-Dienstcluster
• Sicherung und Wiederherstellung für AKS
• Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
• Vorläufiges Löschen für Azure Backup

Zweitens müssen Sie planen, dass Sie einen Server an einem neuen Speicherort wiederherstellen können, wenn die zugrunde liegende Infrastruktur in Ihrer Region angegriffen wird. Informationen zum Konfigurieren der Replikation auf virtuellen Computern finden Sie unter Einrichten der Notfallwiederherstellung für Azure-VMs. Dies umfasst die Konfiguration von Anwendungen und Einstellungen für die Ressourcen, die während des Failovers verwendet werden.

Wichtig

Wenn Sie Azure Site Recovery für virtuelle Computer verwenden, die Teil eines Skalierungssatzes für virtuelle Computer sind, können Sie den Zustand des virtuellen Computers replizieren. Die replizierten Geräte unterstützen jedoch keine Skalierung.

Bei einigen auf virtuellen Maschinen basierenden Workloads, z. B. Kubernetes-Clustern, kann der tatsächliche Zustand der Server nicht über Azure Site Recovery repliziert werden. Möglicherweise benötigen Sie andere Lösungen wie die aktive/passive Konfiguration.

B. Schützen von Datendiensten

Datendienste sind eine informelle Sammlung von Diensten, die Daten enthalten, die für Vorgänge unerlässlich sind, aber die Ressource selbst ist nicht so wichtig. Beispielsweise gibt es wenig Unterschied zwischen zwei Speicherkonten, die auf die gleiche Weise konfiguriert sind und die gleichen Daten hosten.

Datendienste unterscheiden sich von virtuellen Computern, die möglicherweise von den ausgeführten Anwendungen getrennt sind und von der Konfiguration der Verwaltungsebene getrennt sind. Deswegen trifft Folgendes auf diese Dienste zu:

• Sie enthalten häufig eigene Failovertools, z. B. die Fähigkeit eines Speicherkontos, als Teil der georedundanten Speicherebenen (GRS) in eine andere Region zu replizieren.
• Sie haben eigene Überlegungen, wie sie Daten vor Angriffen schützen und die Daten im Falle eines Angriffs wieder verfügbar machen.

Die folgende Tabelle enthält Verweise auf Datenschutz und Verfügbarkeit für häufig verwendete Dienste, Sie sollten jedoch die Produktdokumentation der einzelnen Dienste untersuchen, um die verfügbaren Optionen zu verstehen.

Dienst	Datenschutz	Datenverfügbarkeit
Azure Files	Sichern von Azure-Dateifreigaben Verhindern eines versehentlichen Löschens von Azure-Dateifreigaben	Aktivieren des vorläufigen Löschens für Azure-Dateifreigaben
Azure Blob Storage	Aktivieren der Point-in-Time-Wiederherstellung für BLOB-Daten Speichern unternehmenskritischer Blobdaten mit unveränderlichem Speicher	Übersicht über den Datenschutz für Azure Blob Aktivieren und Verwalten des vorläufigen Löschens für Container Aktivieren von „Vorläufiges Löschen“ für Blobs
Azure SQL-Datenbank	Automatisierte Sicherungen in Azure SQL-Datenbank	Aktive Georeplikation Failovergruppen für Azure SQL-Datenbank
SQL Managed Instance	Automatisierte Sicherungen in Azure SQL Managed Instance	Failovergruppen für verwaltete Azure SQL-Instanz
SQL auf virtuellen Azure-Computern	Sicherung und Wiederherstellung für SQL Server auf Azure-VMs	Failoverclusterinstanzen mit SQL Server in Azure Virtual Machines
Schlüsseltresore	Azure Key Vault: Sichern und Wiederherstellen	Aktivieren des vorläufigen Löschens und des Bereinigungsschutzes für Schlüsseltresore Azure Key Vault: Verfügbarkeit und Redundanz

Warnung

Einige Speicherkontowiederherstellungsszenarien werden nicht unterstützt. Weitere Informationen finden Sie unter Nicht unterstützte Speicherwiederherstellung.

C. Schützen der Wiederherstellungsinfrastruktur

Zusätzlich zum Schutz der Ressourcen auf Ihren Workloads müssen Sie auch die Ressourcen schützen, die Sie nach einer Unterbrechung zum Wiederherstellen der Funktionalität verwenden, z. B. Dokumentation zu Wiederherstellungsprozeduren und Konfigurationsskripts und -vorlagen. Wenn Angreifer Ihre Wiederherstellungsinfrastruktur aufgreifen und unterbrechen können, kann Ihre gesamte Umgebung kompromittiert werden, was zu erheblichen Verzögerungen bei der Wiederherstellung des Angriffs führt und Ihre Organisation anfällig für Ransomware-Szenarien bleibt.

Bei Daten, die durch Azure Backup geschützt sind, können Sie mithilfe des vorläufigen Löschens für Azure-Sicherung Sicherungsdaten auch dann wiederherstellen, wenn sie gelöscht wurden. Darüber hinaus erzwingt erweitertes vorläufiges Löschen die Zuweisung von vorläufigem Löschen und ermöglicht es Ihnen, einen Aufbewahrungszeitraum zu definieren.

Um die Sicherheit weiter zu verbessern, implementieren Sie die Mehrbenutzerautorisierung (Multi-User Authorization, MUA) für kritische Vorgänge, was erfordert, dass zwei oder mehr Benutzer kritische Vorgänge genehmigen, bevor sie ausgeführt werden. Dadurch wird eine zusätzliche Sicherheitsebene hinzugefügt, indem sichergestellt wird, dass kein einzelner Benutzer und daher ein Angreifer mit nur einem Benutzerkonto die Sicherungsintegrität gefährden kann. Aktivieren und konfigurieren Sie MUA, um Ihre Sicherungsrichtlinien vor nicht autorisierten Änderungen und Löschungen zu schützen.

Sie können Azure Site Recovery mit Ressourcensperren und JEA/JIT-Zugriff schützen, um unbefugten Zugriff und Erkennung zu verhindern, wenn Ressourcen gefährdet sind.

Stellen Sie beim Replizieren virtueller Computer mit Azure Site Recovery, die mit Azure Disk Encryption (ADE) oder vom Kunden verwalteten Schlüsseln (CUSTOMER Managed Keys, CMK) verschlüsselt wurden, sicher, dass die Verschlüsselungsschlüssel in Azure Key Vault für die Zielregion gespeichert sind. Das Speichern der Schlüssel in der Zielregion erleichtert den nahtlosen Zugriff auf die Schlüssel nach dem Failover und verwaltet die Kontinuität der Datensicherheit. Um den Azure Key Vault vor destruktiven Cyberangriffen zu schützen, aktivieren Sie erweiterte Bedrohungsschutzfeatures wie vorläufiges Löschen und Löschschutz.

Eine schrittweise Anleitung zur Replikation für verschlüsselte virtuelle Computer finden Sie in den folgenden Themen:

• Replikation von ADE-geschützten VMs
• Replikation von VMs mit CMK-Datenträgern

D: Schützen von konfigurationsbasierten Diensten

Konfigurationsbasierte Dienste sind Azure-Dienste, die keine Daten haben, abgesehen von ihrer Konfiguration auf der Verwaltungsebene. Diese Ressourcen sind in der Regel infrastrukturbasiert und sind grundlegende Dienste, die Workloads unterstützen. Beispiele sind VNets, Lastenausgleichsgeräte, Netzwerkgateways und Anwendungsgateways.

Da diese Dienste zustandslos sind, gibt es keine Betriebsdaten zum Schutz. Die beste Option zum Schutz dieser Dienste besteht darin, Infrastruktur als Codebereitstellungsvorlagen (IaC) wie Bicep zu haben, die den Status dieser Dienste nach einem destruktiven Angriff wiederherstellen können. Sie können auch Skripts für Bereitstellungen verwenden, aber IaC-Bereitstellungen funktionieren besser, um Funktionen in einer vorhandenen Umgebung wiederherzustellen, in der nur wenige Dienste betroffen sind.

Solange eine Ressource auf die gleiche Weise bereitgestellt werden kann, können Dienste weiterhin ausgeführt werden. Anstatt zu versuchen, Kopien dieser Ressourcen zu sichern und zu verwalten, können Sie die programmgesteuerte Bereitstellung verwenden, um aus einem Angriff wiederherzustellen.

Weitere Informationen zur Verwendung von IaC finden Sie unter Empfehlungen für die Verwendung der Infrastruktur als Code.

E. Schützen von Plattformautomatisierungs- und DevOps-Tools

Wenn Sie programmgesteuerte Bereitstellungen oder andere Arten von Automatisierung verwenden, müssen auch Plattformautomatisierungs- und DevOps-Toolressourcen gesichert werden. Beispiele zum Schutz Ihrer Bereitstellungsinfrastruktur finden Sie unter Sichern von DevOps CI/CD-Pipelines und Empfehlungen zum Sichern eines Entwicklungslebenszyklus.

Sie sollten jedoch auch planen, den Code selbst zu schützen, der je nach den verwendeten Quellcodeverwaltungstools variiert. Beispielsweise enthält GitHub Anweisungen zum Sichern eines Repositorys für Ihre Quellcoderepositorys.

Sie sollten auch Ihre spezifischen Dienste überprüfen, um zu bestimmen, wie Sie Ihren Quellcode und Ihre Pipelines vor Angriffen und Zerstörungen am besten schützen können.

Für Komponenten wie Build-Agents, die auf virtuellen Computern gehostet werden, können Sie den entsprechenden Schutzplan für virtuelle Computer verwenden, um sicherzustellen, dass Ihre Agents bei Bedarf verfügbar sind.

Schritt 2: Konfigurieren der Erkennung von Cyberangriffen

Zur Erkennung von Angriffen auf Ihre Azure Infrastruktur, beginnen Sie mit Microsoft Defender for Cloud, einer cloudnative Anwendungsschutzplattform (Cloud-Native Application Protection Platform, CNAPP) mit Sicherheitsmaßnahmen und -verfahren, die zum Schutz von cloudbasierten Anwendungen vor verschiedenen Cyberbedrohungen und Sicherheitsrisiken entwickelt wurden.

Defender for Cloud sammelt in Verbindung mit zusätzlichen Plänen für Azure-Komponenten Signale von Azure-Komponenten und bietet spezifischen Schutz für Server, Container, Speicher, Datenbanken und andere Workloads.

Das folgende Diagramm zeigt den Fluss von Sicherheitsereignisinformationen von Azure-Diensten über Defender für Cloud und Microsoft Sentinel.

In der Abbildung:

• Azure-Dienste senden Signale an Microsoft Defender for Cloud.
• Microsoft Defender for Cloud mit zusätzlichen Plänen wie Defender for Server analysiert die Signale für die erweiterte Bedrohungserkennung und sendet Sicherheitsinformationen und Ereignisverwaltungsdaten (SIEM) an Microsoft Sentinel.
• Microsoft Sentinel verwendet die SIEM-Daten für Cyberangriffserkennung, Untersuchung, Reaktion und proaktive Suche.

Nachdem Sie Ihre Azure-Ressourcen mit den Empfehlungen in Schritt 1 dieses Artikels besser geschützt haben, müssen Sie über einen Plan zum Erkennen destruktiver Cyberangriffe mit Microsoft Sentinel verfügen. Ein Ausgangspunkt ist die Verwendung erweiterter Multistage-Angriffserkennung in Microsoft Sentinel. Auf diese Weise können Sie Erkennungen für bestimmte Szenarien erstellen, z. B. Datenvernichtung, Denial of Service, böswillige administrative Aktivitäten und vieles mehr.

Im Rahmen der Vorbereitung Ihrer Workloads für die Antwort müssen Sie:

• Ermitteln, wie Sie bestimmen, ob eine Ressource angegriffen wird.
• Bestimmen, wie Sie einen Vorfall als Ergebnis erfassen und auslösen können.

Schritt 3: Vorbereiten Ihrer Pläne für die Reaktion auf Vorfälle

Sie müssen über gut definierte und einsatzbereite Pläne für die Reaktion auf Vorfälle für destruktive Cyberangriffe verfügen, bevor Vorfälle auftreten. Während eines Vorfalls haben Sie keine Zeit, um zu bestimmen, wie Angriffe in Bearbeitung gedrosselt oder beschädigte Daten und Dienste wiederhergestellt werden.

Azure-Anwendungen und gemeinsame Dienste sollten alle über Reaktions- und Wiederherstellungspläne verfügen, die Playbooks zum Wiederherstellen virtueller Computer, Datendienste, Konfigurationsdienste und Automatisierungs- und DevOps-Dienste umfassen. Jede Anwendung oder jeder Dienstbereich sollte seine Definitionen und klar definierten Abhängigkeiten aufweisen.

Ihre Playbooks sollten:

• Ihre Prozesse für die folgenden Szenarien einschließen:

  • Ausführen eines Failovers in eine sekundäre Region für Azure-VMs
  • Wiederherstellen von Azure-VM-Daten im Azure-Portal
  • Wiederherstellen von Dateien auf einem virtuellen Computer in Azure
  • Wiederherstellen vorläufig gelöschter Daten und Wiederherstellungspunkte mithilfe des erweiterten vorläufigen Löschens in Azure Backup
  • Wiederherstellen des Status von Kubernetes-Clustern nach einer Katastrophe
  • Wiederherstellen eines gelöschten Speicherkontos
  • Wiederherstellen eines vorläufig gelöschten Schlüsseltresors
  • Wiederherstellen vorläufig gelöschter Geheimschlüssel, Schlüssel und Zertifikate aus einem Schlüsseltresor
  • Leitfaden zur Notfallwiederherstellung für Azure SQL-Datenbank

• Schließen Sie den Wiederherstellungsvorgang für alle anderen Ressourcen ein, aus denen dieser Dienst besteht.

• Sie werden regelmäßig als Teil Ihrer SecOps-Wartungsprozesse getestet.

Empfohlene Schulung

• Implementieren von Privileged Identity Management
• Entwerfen einer Lösung für die Sicherung und Notfallwiederherstellung
• Verbessern Ihres Cloudsicherheitsstatus mit Microsoft Defender for Cloud
• Erstellen von Erkennungen und Durchführen von Untersuchungen mithilfe von Microsoft Sentinel

Nächste Schritte

Implementieren Sie weiterhin Ihre Sicherheitsverletzungspräventions- und Wiederherstellungsinfrastruktur.

References

Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.

• Ressourcensperren
• Microsoft Entra Privileged Identity Management
• Vorläufiges Löschen für Azure Backup
• Mehrbenutzerautorisierung (MUA)
• Bicep
• Microsoft Defender für Cloud
• Microsoft Sentinel