Sicherheit bei Hybridworkloads

  • Artikel

Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. Besonders in Hybridumgebungen und Umgebungen mit mehreren Clouds sollte eine Architektur, die auf guten Sicherheitsverfahren aufbaut, resilient gegen Angriffe sein und Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Informationen zur Bewertung Ihrer Workload anhand der Grundsätze des Microsoft Azure Well-Architected Framework finden Sie in der Microsoft Azure Well-Architected-Bewertung.

Mit Microsoft Defender für Cloud können lokale Systeme, Azure-VMs, Azure Monitor-Ressourcen und sogar VMs, die von anderen Cloudanbietern gehostet werden, überwacht werden. Zur Unterstützung dieser Funktionalität wird der kostenpflichtige Standard-Tarif von Microsoft Defender für Cloud benötigt. Es wird empfohlen, die 30-tägige kostenlose Testversion zu verwenden, um Ihre Anforderungen zu überprüfen. Durch den Betriebsprozess von Defender für Cloud werden Ihre normalen Betriebsabläufe nicht beeinträchtigt. Stattdessen überwacht er Ihre Bereitstellungen passiv und bietet Empfehlungen basierend auf den Sicherheitsrichtlinien, die Sie aktivieren.

Mit Microsoft Sentinel können Sie die Datenerfassung aus verschiedenen Quellen vereinfachen, z. B. Azure, lokale Lösungen und cloudübergreifend mithilfe integrierter Connectors. Microsoft Sentinel dient der Sammlung von Daten auf Cloudebene über alle Benutzer, Geräte, Anwendungen und Infrastrukturen hinweg, und zwar sowohl lokal als auch in verschiedenen Clouds.

Azure Architecture Center-Ressourcen (AAC)

Prinzipien

Azure Arc-Verwaltung: Sicherheitsfunktionen

  • Zugreifen auf eindeutige Azure-Sicherheitsfunktionen wie Microsoft Defender für Cloud
  • Zentrales Verwalten des Zugriffs für Ressourcen mit rollenbasierter Zugriffssteuerung.
  • Zentrales Verwalten und Erzwingen der Compliance sowie Vereinfachen der Überwachungsberichterstellung mit Azure Policy.

Azure Arc-fähige Datendienste: Sicherheitsfunktionen

  • Schützen Ihrer Datenworkloads mit Microsoft Defender für Cloud in Ihrer Umgebung, indem Sie die Advanced Threat Protection- und Sicherheitsrisikobewertungsfunktionen für unerreichte Sicherheit verwenden.
  • Nahtloses Festlegen von Sicherheitsrichtlinien, Ressourcengrenzen und rollenbasierter Zugriffssteuerung für verschiedene Datenworkloads in Ihrer gesamten Hybridinfrastruktur.

Azure Stack HCI

  • Schutz von Daten während der Übertragung. Das Speicherreplikat bietet integrierte Sicherheit für den Replikationsdatenverkehr. Dies umfasst Paketsignatur, vollständige AES-128-GCM-Datenverschlüsselung, Unterstützung für Intel AES-NI-Verschlüsselungsbeschleunigung sowie Vorauthentifizierung zur Verhinderung von Man-in-the-Middle-Angriffen.
    • Darüber hinaus verwendet Storage Replica Kerberos AES256 für die Authentifizierung zwischen den replizierenden Knoten.
  • Verschlüsselung ruhender Daten Die Azure Stack HCI unterstützt für ihre Datenvolumes die BitLocker-Laufwerkverschlüsselung und vereinfacht so die Einhaltung von Standards wie FIPS 140-2 und dem HIPAA.
  • Integration mit einer Reihe von Azure-Diensten, die zusätzliche Vorteile in Bezug auf Sicherheit bieten. Sie können virtualisierte Workloads, die in Azure Stack HCI-Clustern ausgeführt werden, in Azure-Dienste wie Microsoft Defender für Cloud integrieren.
  • Firewallfreundliche Konfiguration. Der Datenverkehr für Storage Replica erfordert eine begrenzte Anzahl offener Ports zwischen den replizierenden Knoten.

Entwurf

Server mit Azure Arc-Unterstützung

Implementieren von Azure Monitor

Mit Azure Monitor können Sie virtuelle Computer, VM-Skalierungsgruppen und Azure Arc-Computer bedarfsorientiert überwachen. Azure Monitor analysiert die Leistung und Integrität Ihrer Windows- und Linux-VMs. Es überwacht auch deren Prozesse und Abhängigkeiten von anderen Ressourcen und externen Prozessen. Er beinhaltet Unterstützung für die Überwachung von Leistung und Anwendungsabhängigkeiten für virtuelle Computer, die lokal oder bei einem anderen Cloudanbieter gehostet werden.

Implementieren von Microsoft Sentinel

Verwenden Sie Microsoft Sentinel, um intelligente Sicherheitsanalysen und Threat Intelligence im gesamten Unternehmen bereitzustellen. Dies bietet eine Einzellösung für Warnungserkennung, Einblicke in Bedrohungen, proaktives Hunting und Reaktion auf Bedrohungen. Microsoft Sentinel ist eine skalierbare, cloudnative Lösung für Security Information & Event Management (SIEM) und die Sicherheitsorchestrierung mit automatisierter Reaktion (Security Orchestration Automated Response, SOAR), die verschiedene Szenarien unterstützt:

  • Sammeln Sie Daten auf Cloudebene über alle Benutzer, Geräte, Anwendungen und Infrastrukturen hinweg, lokal und in mehreren Clouds.
  • Erkennen Sie zuvor nicht erkannte Bedrohungen, und minimieren Sie falsch positive Ergebnisse.
  • Untersuchen Sie Bedrohungen mit künstlicher Intelligenz, und verfolgen Sie verdächtige Aktivitäten im großen Stil.
  • Reagieren Sie dank der integrierten Orchestrierung und Automatisierung häufiger Aufgaben schnell auf Incidents.

Azure Stack HCI

Stretched Cluster in der Azure Stack HCI verwenden Storage Replica für eine synchrone Speicherreplikation zwischen Speichervolumes, die von den beiden Knotengruppen am jeweiligen physischen Standort gehostet werden. Wenn ein Ausfall die Verfügbarkeit des primären Standorts beeinträchtigt, verschiebt der Cluster seine Workloads automatisch zu Knoten am verbleibenden Standort, um eine mögliche Downtime zu minimieren.

Monitor

  • Produktübergreifend: Integration in Microsoft Sentinel und Microsoft Defender für Cloud.
  • Einsetzen von Microsoft Defender für Cloud für Ihre lokalen Daten und Server mittels Arc.
  • Festlegen von Sicherheitsrichtlinien, Ressourcengrenzen und RBAC für Workloads in der hybriden Infrastruktur.
  • Festlegen der richtigen Administratorrollen, um einen Computer zu lesen, zu ändern, neu zu integrieren und zu löschen.