Zusammenfassung

Abgeschlossen

In diesem Modul haben Sie erfahren, wie Sie erweiterte Sicherheitsmaßnahmen für Azure-Computeressourcen planen und implementieren, um vor Sicherheitsrisiken und sich entwickelnden Sicherheitsbedrohungen zu schützen.

Wichtige Erkenntnisse

Sie haben umfassende Sicherheitsstrategien für mehrere Azure-Computedienste untersucht:

Sicherer Remotezugriff

• Azure Bastion bietet sicheren RDP/SSH-Zugriff, ohne virtuelle Computer im öffentlichen Internet verfügbar zu machen, mit vier SKU-Ebenen:
  • Entwickler-SKU: Kostengünstige Option für Entwicklungs-/Testszenarien (zwei gleichzeitige Verbindungen)
  • Grundlegende SKU: Standardmäßiger sicherer Remotezugriff (keine systemeigene Clientunterstützung)
  • Standard-SKU: Erweiterte Features, einschließlich systemeigener Clientunterstützung und freigabefähige Links
  • Premium-SKU: Erweiterte Funktionen wie Sitzungsaufzeichnung, nur private Bereitstellung und benutzerdefinierte Portunterstützung
• Just-in-Time(JIT)-VM-Zugriff reduziert Angriffsflächen, indem zeitlich begrenzter Zugriff auf virtuelle Computer bereitgestellt wird

Azure Kubernetes Service (AKS)-Sicherheit

• Workload-Identität mit OIDC-Föderation bietet eine sichere Authentifizierung für Azure-Ressourcen (ersetzt die veraltete pod-verwaltete Identität)
• Netzwerkisolation mittels Netzwerkrichtlinien kontrolliert die Kommunikation zwischen Pods
• Pod Security Standards erzwingen Sicherheitsrichtlinien auf Pod-Ebene
• AKS Automatic bietet vereinfachte, produktionsfähige Clusterkonfiguration
• Azure Linux 3 sollte verwendet werden, da der Support für Azure Linux 2.0 am 30. November 2025 endet.

Containersicherheit und -überwachung

• Microsoft Defender für Container bietet umfassenden Bedrohungsschutz in fünf Kerndomänen:
  • Verwaltung der Sicherheitslage in der Cloud
  • Sicherheitsrisikobewertung, unterstützt von Microsoft Defender Vulnerability Management (MDVM)
  • Laufzeitbedrohungserkennung
  • Kubernetes-Umgebungshärtung
  • Schutz der Software-Lieferkette
• Containereinblicke (ein Feature von Azure Monitor) bietet Leistungs- und Zustandsüberwachung für Container-Arbeitslasten
• Gated Deployment (GA) verhindert, dass anfällige Images in die Produktionsumgebung bereitgestellt werden.
• Laufzeitcontainerüberprüfung (GA) stellt eine kontinuierliche Sicherheitsrisikobewertung bereit.

Containerregistrierungssicherheit

• Azure Container Registry (ACR) unterstützt sieben integrierte RBAC-Rollen für die granulare Zugriffssteuerung
• Authentifizierungsmethoden umfassen Microsoft Entra-Identitäten, Repository-bezogene Berechtigungen und Administratorkonten
• Die Integration mit Microsoft Entra ID ermöglicht die zentrale Identitätsverwaltung

Datenschutz

• Azure Disk Encryption (ADE) verwendet BitLocker (Windows) und dm-crypt (Linux) zum Verschlüsseln von VM-Datenträgern
• Verschlüsselung auf host bietet End-to-End-Verschlüsselung für VM-Daten
• Vertrauliche Datenträgerverschlüsselung schützt vertrauliche Workloads mit hardwarebasierter Sicherheit
• Azure Key Vault dient als zentrale Schlüssel- und Zertifikatverwaltung
• Umschlagverschlüsselung mit DEK/KEK-Hierarchie bietet mehrschichtigen Datenschutz

API-Sicherheit

• Azure API Management-Sicherheitsgrundwerte entsprechen dem Microsoft Cloud Security Benchmark (v2 Preview verfügbar)
• Die Integration des virtuellen Netzwerks ermöglicht interne oder externe Netzwerkkonfigurationen
• Private Endpunkte bieten sicheren Zugriff ohne öffentliche Gefährdung
• Die Integration von Microsoft Entra-ID ermöglicht die OAuth 2.0-Authentifizierung für APIs.
• Verwaltete Identitäten vereinfachen den sicheren Zugriff auf Azure-Ressourcen wie Key Vault

Bewährte Methoden angewendet

In diesem Modul haben Sie gelernt, wie Sie bewährte Methoden für die Sicherheit anwenden:

• Verwenden der Workload-Identität anstelle der veralteten, podseitig verwalteten Identität für die AKS-Authentifizierung
• Aktivieren der Microsoft Entra ID-Authentifizierung über lokale Authentifizierungsmethoden nach Möglichkeit
• Implementieren des geringsten Berechtigungszugriffs mithilfe von Azure RBAC für eine präzise Berechtigungssteuerung
• Verwenden Sie verwaltete Identitäten, um das Speichern von Anmeldeinformationen in Code oder Konfiguration zu vermeiden
• Aktivieren der Speicherverschlüsselung und der Transportverschlüsselung für alle vertraulichen Daten.
• Bereitstellen privater Endpunkte , um den Datenverkehr aus dem öffentlichen Internet zu schützen
• Überwachen mit Microsoft Defender für Container und Container-Insights zur umfassenden Sichtbarkeit
• Anwenden von Netzwerkrichtlinien zum Erzwingen der Mikrosegmentierung in AKS-Clustern
• Speichern von geheimen Schlüsseln und Schlüsseln in Azure Key Vault und nicht im Anwendungscode
• Verwenden von Azure-Richtlinien zum Erzwingen von Sicherheitskonfigurationen über Ressourcen hinweg

Nächste Schritte

So stärken Sie Ihre Azure-Sicherheitskompetenz weiter:

• Erkunden Sie Microsoft Defender für die Cloud für einheitliche Sicherheitsverwaltung
• Überprüfen von Azure-Sicherheitsgrundwerten für dienstspezifische Anleitungen
• Implementieren von Microsoft Cloud Security Benchmark-Steuerelementen in Ihrer Umgebung
• Informationen zum vertraulichen Azure Computing zum Schutz der verwendeten Daten
• Konfigurieren von Azure-Richtlinien zum Erzwingen von Sicherheitsstandards der Organisation