Sicherheitstools und -richtlinien

  • 5 Minuten

In der Erzählung von Tailwind Traders hat der Kunde einen „Klein anfangen“-Ansatz für Azure-Zielzonen gewählt. Dies bedeutet, dass seine aktuelle Implementierung nicht alle vorgeschlagenen Sicherheitskontrollen enthält. Idealerweise hätte der Kunde mit dem Azure-Zielzonenbeschleuniger begonnen, mit dem bereits viele der folgenden Tools installiert worden wären.

Diese Lerneinheit beschreibt, welche Kontrollen der Umgebung dieses Kunden hinzugefügt werden sollen, um näher an die konzeptionelle Architektur der Azure-Zielzonen zu gelangen und die Sicherheitsanforderungen der Organisation vorzubereiten.

Mehrere Tools und Kontrollen sind verfügbar, um Ihnen dabei zu helfen, schnell eine Sicherheitsbaseline zu erreichen:

  • Microsoft Defender für Cloud: Bietet die Tools, die Sie benötigen, um Ihre Ressourcen zu schützen, Ihren Sicherheitsstatus zu verfolgen, sich vor Cyberangriffen zu schützen und die Sicherheitsverwaltung zu optimieren.
  • Microsoft Entra ID: Der Standardverwaltungsdienst für Identität und Zugriff. Microsoft Entra ID bietet einen Identitätssicherheitsscore, der Ihnen dabei hilft, Ihren Identitätssicherheitsstatus in Bezug auf die Empfehlungen von Microsoft zu bewerten.
  • Azure Sentinel: Eine cloudnative SIEM-Lösung mit intelligenten Sicherheitsanalysen für Ihr gesamtes Unternehmen, unterstützt von KI.
  • Azure Distributed Denial of Service (DDoS)-Standardschutzplan (optional): Bietet erweiterte Funktionen zur Abmilderung von DDoS-Angriffen sowie zum Schutz davor.
  • Azure Firewall: Ein cloudnativer und intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre in Azure ausgeführten Cloudworkloads bietet.
  • Web Application Firewall: Ein cloudnativer Dienst, der Web-Apps vor gängigen Web-Hacking-Methoden wie Einschleusung von SQL-Befehlen und Sicherheitsrisiken wie Cross-Site Scripting schützt.
  • Privileged Identity Management (PIM): Ein Dienst in Microsoft Entra ID, mit dem Sie den Zugriff auf wichtige Ressourcen in Ihrer Organisation verwalten, steuern und überwachen können.
  • Microsoft Intune: Ein cloudbasierter Dienst, der sich auf die Verwaltung mobiler Geräte und mobiler Anwendungen konzentriert.

In den folgenden Abschnitten wird veranschaulicht, wie Tailwind Traders in der Praxis eine Sicherheitsbaseline erzielen können.

Baselineimplementierung für die Zugriffssteuerung

Die CISO möchte die folgenden Ziele aus der Kundenerzählung erreichen:

  • Ermöglichen Sie es Mitarbeitern, ihre Arbeit von überall aus sicher zu erledigen
  • Minimieren Sie Unternehmensschäden durch einen schweren Sicherheitsvorfall

Wenn diese Ziele denen Ihrer Organisation entsprechen, oder wenn Sie über weitere Motivationen zum Erhöhen der Zugriffssteuerungen verfügen, sollten Sie die folgenden Aufgaben in Ihre Sicherheitsbaseline integrieren:

  • Implementieren Sie Microsoft Entra ID zum Aktivieren starker Anmeldeinformationen
  • Fügen Sie Intune für Gerätesicherheit hinzu
  • Fügen Sie PIM für privilegierte Konten hinzu, um näher zu einer Zero Trust-Welt zu kommen
  • Implementieren Sie eine solide Netzwerksegmentierung mithilfe eines Hub-and-Spoke-Modells mit Notfallzugriffskontrollen und Firewallkontrollen zwischen Anwendungszielzonen
  • Fügen Sie Defender for Cloud und Azure Policy hinzu, um die Einhaltung dieser Anforderungen zu überwachen

Baselineimplementierung für Compliance

Die CISO möchte folgendes Ziel aus der Kundenerzählung erreichen:

  • Erfüllen Sie gesetzliche Vorschriften und Konformitätsanforderungen proaktiv

Wenn dieses Ziel denen Ihrer Organisation entspricht, oder wenn Sie über weitere Motivationen zum Erhöhen der Zugriffssteuerungen verfügen, sollten Sie die folgende Aufgabe in Ihre Sicherheitsbaseline integrieren:

  • Fügen Sie PIM für privilegierte Konten hinzu, um näher zu einer Zero Trust-Welt zu kommen

Baselineimplementierung zum Identifizieren und Schützen vertraulicher Geschäftsdaten

Die CISO möchte die folgenden Ziele aus der Kundenerzählung erreichen:

  • Identifizieren und Schützen Sie vertrauliche Geschäftsdaten
  • Modernisieren Sie das vorhandene Sicherheitsprogramm schnell

Wenn diese Ziele denen Ihrer Organisation entsprechen, oder wenn Sie über weitere Motivationen zum Erhöhen der Zugriffssteuerungen verfügen, sollten Sie die folgenden Aufgaben in Ihre Sicherheitsbaseline integrieren:

  • Fügen Sie Defender for Cloud hinzu, um zentrale, integrierte Sichtbarkeit und Kontrolle über einen ausufernden digitalen Footprint zu erhalten und zu verstehen, welche Risiken vorhanden sind
  • Fügen Sie Microsoft Sentinel hinzu, um sich wiederholende Prozesse zu automatisieren, um Zeit für das Sicherheitsteam zu gewinnen

Nachdem die richtigen Tools vorhanden sind, stellen Sie sicher, dass Sie über gute Richtlinien verfügen, um die ordnungsgemäße Verwendung dieser Tools zu erzwingen. Mehrere Richtlinien gelten für Online- und unternehmensgebundene Zielzonen:

  • Sicheren Zugriff wie HTTPS auf Speicherkonten erzwingen: Konfigurieren Ihres Speicherkontos, sodass nur Anforderungen von sicheren Verbindungen akzeptiert werden, indem Sie die Eigenschaft Sichere Übertragung erforderlich für das Speicherkonto festlegen. Wenn Sie eine sichere Übertragung erfordern, werden alle Anforderungen zurückgewiesen, die von einer unsicheren Verbindung stammen.
  • Überprüfung für Azure SQL-Datenbank erzwingen: Nachverfolgen von Datenbankereignissen und Schreiben dieser Ereignisse in ein Überwachungsprotokoll in Ihrem Azure-Speicherkonto, in den Log Analytics-Arbeitsbereich oder in Event Hubs.
  • Verschlüsselung für Azure SQL-Datenbank erzwingen: Transparente Datenverschlüsselung (Transparent Data Encryption, TDE) verschlüsselt ruhende Daten und trägt so zum Schutz von SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics vor Bedrohungen durch schädliche Offlineaktivitäten bei.
  • Verhindern der IP-Weiterleitung: Die IP-Weiterleitung ermöglicht es einer Netzwerkschnittstelle, die an einen virtuellen Computer angefügt ist, Netzwerkdatenverkehr zu empfangen, der nicht für eine der IP-Adressen bestimmt ist, die einer der IP-Konfigurationen der Netzwerkschnittstelle zugewiesen sind. Sie können außerdem Netzwerkdatenverkehr mit einer IP-Quelladresse senden, die nicht der Adresse entspricht, die den IP-Konfigurationen einer Netzwerkschnittstelle zugewiesen ist. Die Einstellung muss für jede an den virtuellen Computer angefügte Netzwerkschnittstelle aktiviert werden, die Datenverkehr empfängt, den der virtuelle Computer weiterleiten muss.
  • Sicherstellen,dass Subnetze Netzwerksicherheitsgruppen zugeordnet sind: Verwenden einer Azure-Netzwerksicherheitsgruppe (NSG), um Netzwerkdatenverkehr von und zu Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Eine NSG enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen (bzw. von ihnen ausgehenden Netzwerkdatenverkehr) zulassen oder verweigern. Für jede Regel können Sie die Quelle und das Ziel, den Port sowie das Protokoll angeben.

Überprüfen Sie Ihr Wissen

1.

Welches der folgenden Tools steht Ihnen nicht zur Verfügung, um schnell eine Sicherheitsbaseline zu erreichen?