Sicherheitsüberlegungen zu hochgradig sensiblen IaaS-Apps in Azure

Azure
Backup
Bastion
Blueprints
DNS
Firewall
Monitor
Policy
Azure-Portal
Sentinel
SQL Server
Windows

Es gibt eine Vielzahl von Sicherheitsüberlegungen im Zusammenhang mit der Bereitstellung von Infrastructure-as-a-Service (IaaS) -Apps in Azure.There are many security considerations for deploying infrastructure-as-a-service (IaaS) apps to Azure. Dieser Artikel baut auf Referenzarchitekturen für VM-basierte Workloads und Hybridnetzwerkinfrastrukturen auf; der Schwerpunkt liegt auf der Sicherheit für höchst sensible IaaS-Workloads in Azure, basierend auf Grundlagen der Azure-Sicherheit.This article builds on reference architectures for virtual machine-based workloads and hybrid network infrastructures to focus on security for highly sensitive IaaS workloads in Azure, based on Azure security fundamentals.

Siehe auch Virtuelle Azure-Computer – Sicherheitsübersicht und Bewährte Sicherheitsmethoden für IaaS-Workloads in Azure.Also see Azure virtual machines security overview and Security best practices for IaaS workloads in Azure.

Virtuelle Azure-ComputerAzure VMs

Die Computeplattform von Azure basiert auf der Virtualisierung von Computern.Azure's compute platform is based on machine virtualization. Ein Hypervisor wird auf der physischen Hardware jedes Azure-Knotens bzw. Netzwerkendpunkts ausgeführt. Er erstellt eine variable Anzahl von Hyper-V-Gast-VMs (virtuellen Computern) im Knoten.A hypervisor runs on the physical hardware of each Azure node or network endpoint, and creates a variable number of guest Hyper-V virtual machines (VMs) in the node. Der gesamte Benutzercode wird auf den VMs ausgeführt.All user code executes on the VMs. Grundlegende Anweisungen zum Bereitstellen von Azure-VMs finden Sie unter Ausführen eines virtuellen Linux-Computers in Azure und Ausführen eines virtuellen Windows-Computers in Azure.For basic Azure VM deployment instructions, see Run a Linux VM on Azure or Run a Windows VM on Azure. Die meisten Bereitstellungsprozesse sind für die beiden Betriebssysteme identisch, betriebssystemspezifische Tools wie die Datenträgerverschlüsselung können sich jedoch unterscheiden.Most deployment processes are the same for the two operating systems (OSs), but OS-specific tools like disk encryption may differ.

Sie können Azure Security Center für die VM-Patchverwaltung verwenden und Antischadsoftware-Tools bereitstellen und überwachen.You can use Azure Security Center for VM patch management and to deploy and monitor antimalware tools. Alternativ dazu können Sie auch eigene Patch- und Antischadsoftware-Tools oder Tools von Drittanbietern verwalten. Dies kommt beim Erweitern oder Migrieren vorhandener Infrastrukturen zu Azure häufig vor.Alternatively, you can manage your own or third-party patching and antimalware tools, which is common when extending or migrating existing infrastructures to Azure.

Microsoft bietet im Rahmen der Azure-Plattform grundlegenden verteilten Denial-of-Service (DDoS) -Schutz.Microsoft provides Basic distributed denial of service (DDoS) protection as part of the Azure platform. In Apps mit öffentlichen Endpunkten kann Standard-Azure DDoS Protection für zusätzlichen Schutz verwendet werden.Apps that have public endpoints can use Standard Azure DDoS Protection for additional protection. Allerdings verfügen höchst sensible Workloads in der Regel über keine öffentlichen Endpunkte, und es kann nur von bestimmten Standorten aus über ein virtuelles privates Netzwerk (VPN) oder über geleaste Verbindungen darauf zugegriffen werden.However, highly sensitive workloads don't usually have public endpoints, and can only be accessed from specific locations over a virtual private network (VPN) or leased line.

n-schichtige ArchitekturenN-tier architectures

Viele IaaS-Anwendungen bestehen aus mehreren Schichten, wie z. B. einer Webschicht, einer Unternehmensschicht und einer Datenschicht, die auf mehreren VMs gehostet werden.Many IaaS applications consist of multiple tiers, such as a web tier, business tier, and data tier, which are hosted across multiple VMs. Wichtige Aspekte der Bereitstellung von n-schichtigen App-Architekturen auf Azure-VMs:Key aspects of deploying n-tier app architectures on Azure VMs include:

  • Hochverfügbarkeit (HA).High availability (HA). Apps mit Hochverfügbarkeit müssen über 99,9 % der Zeit verfügbar sein.HA apps must be available more than 99.9% of the time. Das Platzieren von n-schichtigen VMs in verschiedenen Azure-Verfügbarkeitszonen (VZs) stellt Hochverfügbarkeit sicher, da VZs ein oder mehrere Rechenzentren abdecken und Resilienz aufgrund der Abwehr des Ausfalls von Rechenzentren gegeben ist.Placing in-tier VMs in different Azure availability zones (AZs) ensures HA, because AZs span one or more datacenters, providing resiliency through resistance to datacenter failure. Regionen, die keine VZs unterstützen, können Verfügbarkeitsgruppen verwenden, die VMs auf mehrere isolierte Hardwareknoten verteilen.Regions that don't support AZs can use availability sets (ASs), which distribute VMs across multiple isolated hardware nodes.
  • Lastenausgleich:Load balancing. Lastenausgleichsmodule verteilen den Datenverkehr auf VMs, um einen Lastenausgleich vorzunehmen und die Resilienz bei Ausfall einer VM sicherzustellen.Load balancers distribute traffic among VMs, to balance load and for resiliency when a VM fails. Sie benötigen keine Lastenausgleichsmodule, wenn die Anwendung den Lastenausgleich verwaltet und dem Aufrufer die einzelnen VMs bekannt sind.You don't need load balancers if the application manages load balancing and the individual VMs are known to the caller.
  • Virtuelle Netzwerke.Virtual networks. Virtuelle Netzwerke und Subnetze segmentieren Ihr Netzwerk, wodurch die Sicherheitsverwaltung vereinfacht und erweitertes Routing ermöglicht wird.Virtual networks and subnets segment your network, enabling easier security management and advanced routing.
  • Domain Name System (DNS) .Domain Name System (DNS). Mit Azure DNS wird ein hoch verfügbarer und sicherer DNS-Dienst bereitgestellt.Azure DNS provides a highly available and secure DNS service. Mit einer privaten Zone in Azure DNS können Sie benutzerdefinierte Domänen in Ihren virtuellen Netzwerken verwenden.A private zone in Azure DNS lets you use custom domains inside your virtual networks.

Sichern und WiederherstellenBackup and restore

Zum Schutz vor menschlichen Fehlern, dem bösartigen Löschen von Daten und Ransomware sollten Sie mindestens Ihre VMs der Datenschicht sichern.To protect against human error, malicious data deletion, and ransomware, you should back up at least your data-tier VMs. Mit Azure Backup können Sie verschlüsselte VMs sichern und wiederherstellen, wenn der Zugriff auf die Verschlüsselungsschlüssel in Azure Key Vault gegeben ist.Azure Backup can back up and restore encrypted VMs if it can access the encryption keys in Azure Key Vault.

In der Webschicht und der Unternehmensschicht können Sie Autoskalierungsregeln für VM-Skalierungsgruppen verwenden, um gefährdete VMs automatisch zu vernichten und komplett neue VM-Instanzen aus einem Basisimage bereitzustellen.For the web and business tiers, you can use virtual machine scale set autoscaling rules to automatically destroy compromised VMs and deploy fresh VM instances from a base image.

ComputeisolationCompute isolation

Auf jedem Azure-Knoten oder Netzwerkendpunkt stellen der Hypervisor und ein spezielles Stammbetriebssystem sicher, dass Gast-VMs nicht auf den physischen Hostserver zugreifen können und dass der Benutzercode nur auf Gast-VMs ausgeführt wird.On each Azure node or network endpoint, the hypervisor and a special root OS ensure guest VMs can't access the physical host server, and user code executes only on guest VMs. Durch diese Isolation wird verhindert, dass Benutzer RAW-Zugriff zum Lesen, Schreiben und Ausführen auf das System erhalten, und das Risiko der gemeinsamen Verwendung von Ressourcen wird gemindert.This isolation prevents users from obtaining raw read, write, or execute access to the system, and mitigates the risk of sharing resources. Azure schützt über den Hypervisor und einen erweiterten Algorithmus zur VM-Platzierung gegen alle bekannten Seitenkanalangriffe und Noisy Neighbors (Beeinträchtigung durch andere Dienste).Azure protects against all known side-channel attacks and noisy neighbors through the hypervisor and an advanced VM placement algorithm. Weitere Informationen finden Sie unter Computeisolation.For more information, see Compute isolation.

Bei hochgradig sensiblen Workloads können Sie mit isolierten VMs oder dedizierten Hosts zusätzlichen Schutz vor Seitenkanalangriffen hinzufügen.For highly sensitive workloads, you can add additional protection against side-channel attacks with isolated VMs or dedicated hosts.

Isolierte VMsIsolated VMs

Isolierte VMs sind große VMs, die für einen bestimmten Hardwaretyp isoliert und für einen einzelnen Kunden bestimmt sind.Isolated VMs are large VM sizes that are isolated to a specific hardware type and dedicated to a single customer. Durch die Verwendung einer großen isolierten VM wird sichergestellt, dass Ihr virtueller Computer in der jeweiligen Serverinstanz als einziger ausgeführt wird.Using an isolated VM size guarantees that your VM is the only one running on a specific server instance. Sie können die Ressourcen dieser isolierten virtuellen Computer weiter unterteilen, indem sie die Azure-Unterstützung für geschachtelte virtuelle Computer verwenden.You can further subdivide the resources of isolated VMs by using Azure support for nested virtual machines.

Die Mindestgröße einer isolierten VM beläuft sich auf 64 virtuelle CPU-Kerne und 256 GiB Arbeitsspeicher.The minimum size of an isolated VM is 64 virtual CPU cores and 256 GiB of memory. Diese VMs sind weitaus größer als die meisten n-schichtigen Anwendungen erfordern, und daher können Sie große Kosten verursachen.These VMs are far larger than most n-tier applications require, and can create a large cost overhead. Um den Mehraufwand an Kosten zu mindern, können Sie mehrere App-Ebenen auf einem einzigen virtuellen Computer mit einer geschachtelten Virtualisierung oder in unterschiedlichen Prozessen oder Containern ausführen.To reduce the overhead, you can run multiple app tiers on a single VM with nested virtualization, or in different processes or containers. Für die Resilienz müssen Sie dennoch verschiedene VMs in Verfügbarkeitszonen bereitstellen und Appliances für eine demilitarisierte Zone (DMZ) auf separaten VMs ausführen.You still need to deploy different VMs in AZs for resiliency, and run demilitarized zone (DMZ) appliances on separate VMs. Das Kombinieren mehrerer Apps in einer Infrastruktur aus wirtschaftlichen Gründen kann auch den Richtlinien für die Abgrenzung von Apps widersprechen.Combining multiple apps on one infrastructure for economic reasons might also conflict with organizational app segregation policies.

Da die Azure-Funktionen für Regionen mit der Zeit ausgeweitet werden, kann Azure auch Isolationsgarantien für bestimmte VM-Größen aufheben; dies wird mit einem Vorlauf von einem Jahr angekündigt.As Azure region capabilities expand over time, Azure may also remove isolation guarantees from certain VM sizes, with one year's notice.

Dedizierte Azure-HostsAzure Dedicated Hosts

Azure Dedicated Host ist die bevorzugte Lösung für Computeisolation in Bezug auf höchst sensible Workloads.Azure Dedicated Host is the preferred compute isolation solution for highly sensitive workloads. Ein dedizierter Host ist ein physischer Server, der für einen Kunden zum Hosten mehrerer VMs reserviert ist.A dedicated host is a physical server dedicated to one customer for hosting multiple VMs. Neben dem Isolieren von VMs können Sie mit dedizierten Hosts die Wartung und VM-Platzierung steuern, um die Beeinträchtigung durch andere Dienste zu vermeiden.Besides isolating VMs, dedicated hosts let you control maintenance and VM placement to avoid noisy neighbors.

Dedizierte Hosts

Für dedizierte Hosts gelten dieselbe Mindestgröße und auch viele Überlegungen zum Festlegen der Größe wie für isolierte VMS.Dedicated hosts have the same minimum size and many of the same sizing considerations as isolated VMs. Ein dedizierter Host kann jedoch VMs hosten, die sich in verschiedenen virtuellen Netzwerken befinden, sodass Richtlinien zur Abgrenzung von Anwendungen eingehalten werden.However, a dedicated host can host VMs located in different virtual networks, to satisfy application segregation policies. Sie sollten DMZ-VMs weiterhin auf einem anderen Host ausführen, um Seitenkanalangriff von einer gefährdeten VM in der DMZ zu verhindern.You should still run DMZ VMs on a different host, to prevent any side-channel attack from a compromised VM in the DMZ.

VerschlüsselungEncryption

Die Datenverschlüsselung ist ein wichtiger Aspekt der Sicherung von Workloads.Data encryption is an important component of securing workloads. Bei der Verschlüsselung werden Informationen codiert, sodass sie nur von autorisierten Empfängern mit einem Schlüssel oder Zertifikat decodiert werden können.Encryption encodes information so only authorized receivers can decode it by using a key or certificate. Die Verschlüsselung umfasst die Datenträgerverschlüsselung für die Verschlüsselung ruhender Daten und Transport Layer Security (TLS) für die Verschlüsselung von Daten während der Übertragung über Netzwerke.Encryption includes disk encryption, for data encryption-at-rest, and Transport Level Security (TLS), for encryption-in-transit over networks.

Azure-SchlüsseltresorAzure Key Vault

Sie können Verschlüsselungsschlüssel und Zertifikate schützen, indem Sie sie in Azure Key Vault, einer HSM-Cloudlösung (Hardwaresicherheitsmodul) speichern, die für Federal Information Processing Standards (FIPS) 140-2 Level 2 validiert wurde.You can protect encryption keys and certificates by storing them in Azure Key Vault, a cloud Hardware Security Module (HSM) solution validated for Federal Information Processing Standards (FIPS) 140-2 Level 2. Informationen zu bewährten Methoden, bei denen nur autorisierten Anwendungen und Benutzern Zugriff auf Key Vault gewährt wird, finden Sie unter Sicherer Zugriff auf einen Schlüsseltresor.For best practices to allow only authorized applications and users to access Key Vault, see Secure access to a key vault.

Zum Schutz von Schlüsseln in Key Vault können Sie das vorläufige Löschen aktivieren. Dadurch wird sichergestellt, dass gelöschte Schlüssel wiederhergestellt werden können.To protect keys in Key Vault, you can enable soft delete, which ensures that deleted keys are recoverable. Zusätzlichen Schutz erhalten Sie, indem Sie einzelne Schlüssel in einer verschlüsselten Datei sichern, mit der Sie die Schlüssel wiederherstellen können, möglicherweise in einer anderen Azure-Region in derselben Geografie.For additional protection, you can back up individual keys to an encrypted file that you can use to restore the keys, potentially to another Azure region in the same geography.

Wird SQL Server auf einer VM gehostet, können Sie mit dem SQL Server-Connector für Microsoft Azure Key Vault Schlüssel für Transparent Data Encryption (TDE) , Verschlüsselung auf Spaltenebene und Sicherungsverschlüsselung abrufen.When hosting SQL Server on a VM, you can use the SQL Server Connector for Microsoft Azure Key Vault to get keys for transparent data encryption (TDE), column level encryption (CLE), and backup encryption. Einzelheiten hierzu finden Sie unter Konfigurieren der Azure Key Vault-Integration für SQL Server auf virtuellen Azure-Computern.For details, see Configure Azure Key Vault integration for SQL Server on Azure virtual machines.

Azure Disk EncryptionAzure Disk Encryption

Azure Disk Encryption verwendet die externe Schlüsselschutzvorrichtung BitLocker, um Volumeverschlüsselung für das Betriebssystem und die Datenträger von Azure-VMs bereitzustellen. Azure Disk Encryption kann in Azure Key Vault integriert werden, damit Sie die Verschlüsselungsschlüssel und Geheimnisse für Datenträger besser steuern und verwalten können.Azure Disk Encryption uses a BitLocker external key protector to provide volume encryption for the OS and data disks of Azure VMs, and can be integrated with Azure Key Vault to help you control and manage disk encryption keys and secrets. Jede VM generiert eigene Verschlüsselungsschlüssel und speichert sie in Azure Key Vault.Each VM generates its own encryption keys and stores them in Azure Key Vault. Informationen zum Konfigurieren von Azure Key Vault für die Aktivierung von Azure Disk Encryption finden Sie unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.To configure Azure Key Vault to enable Azure Disk Encryption, see Create and configure a key vault for Azure Disk Encryption.

Bei höchst sensiblen Workloads sollten Sie außerdem einen Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) als zusätzliche Sicherheitsebene verwenden.For highly sensitive workloads, you should also use a key encryption key (KEK) for an additional layer of security. Wenn ein KEK angegeben wird, verwendet Azure Disk Encryption diesen Schlüssel, um Verschlüsselungsgeheimnisse vor dem Schreiben in Key Vault zu umschließen.When you specify a KEK, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. Sie können einen KEK in Azure Key Vault generieren. Sicherer ist es jedoch, einen Schlüssel im lokalen HSM zu generieren und ihn in Azure Key Vault zu importieren.You can generate a KEK in Azure Key Vault, but a more secure method is to generate a key in your on-premises HSM and import it to Azure Key Vault. Dieses Szenario wird häufig als Bring Your Own Key (BYOK) bezeichnet.This scenario is often referred to as bring your own key, or BYOK. Da die importierten Schlüssel die HSM-Grenze nicht überschreiten können, wird durch das Generieren des Schlüssels in Ihrem HSM sichergestellt, dass Sie die vollständige Kontrolle über die Verschlüsselungsschlüssel haben.Because the imported keys can't leave the HSM boundary, generating the key in your HSM ensures you're in full control of the encryption keys.

Durch HSM geschützte Verschlüsselung

Weitere Informationen zu durch HSM geschützten Schlüsseln finden Sie unter Generieren und Übertragen von HSM-geschützten Schlüsseln für Azure Key Vault.For more information about HSM-protected keys, see How to generate and transfer HSM-protected keys for Azure Key Vault.

Verschlüsselung von NetzwerkdatenverkehrNetwork traffic encryption

Netzwerkprotokolle wie HTTPS verschlüsseln Daten während der Übertragung mit Zertifikaten.Network protocols like HTTPS encrypt data in transit with certificates. Für den Datenverkehr vom Client zur Anwendung wird normalerweise ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle verwendet.Client-to-application traffic usually uses a certificate from a trusted certificate authority (CA). Interne Apps können ein Zertifikat von einer internen Zertifizierungsstelle oder einer öffentlichen Zertifizierungsstelle wie DigiCert oder GlobalSign verwenden.Internal apps can use a certificate from an internal CA or a public CA like DigiCert or GlobalSign. Bei der Kommunikation zwischen Schichten wird im Allgemeinen ein von einer internen Zertifizierungsstelle ausgestelltes Zertifikat oder ein selbstsigniertes Zertifikat verwendet.Tier-to-tier communication typically uses a certificate issued by an internal CA, or a self-signed certificate. Azure Key Vault akzeptiert alle diese Zertifikattypen.Azure Key Vault can accommodate any of these certificate types. Weitere Informationen zum Erstellen verschiedener Zertifikattypen finden Sie unter Methoden für die Zertifikaterstellung.For more information about creating different certificate types, see Certificate creation methods.

Azure Key Vault kann als Zertifizierungsstelle für selbstsignierte Zertifikate für den Datenverkehr zwischen Schichten fungieren.Azure Key Vault can act as a self-signed certificate CA for tier-to-tier traffic. Die Key Vault-VM-Erweiterung ermöglicht das Überwachen und automatische Aktualisieren bestimmter Zertifikate auf VMs, je nach Anwendungsfall mit dem oder ohne den privaten Schlüssel.The Key Vault VM extension provides monitoring and automatic refresh of specified certificates on VMs, with or without the private key depending on use case. Informationen zum Verwenden der Key Vault-VM-Erweiterung finden Sie unter Key Vault-VM-Erweiterung für Linux und Key Vault-VM-Erweiterung für Windows.To use the Key Vault VM extension, see Key Vault virtual machine extension for Linux or Key Vault virtual machine extension for Windows.

Key Vault kann auch Schlüssel für Netzwerkprotokolle speichern, in denen keine Zertifikate verwendet werden.Key Vault can also store keys for network protocols that don't use certificates. Benutzerdefinierte Workloads können das Schreiben einer benutzerdefinierten Skripterweiterung erfordern, die einen Schlüssel aus Key Vault abruft und ihn für die Verwendung durch Anwendung speichert.Custom workloads could require scripting a custom script extension that retrieves a key from Key Vault and stores it for applications to use. Apps können auch mit der verwalteten Identität einer VM Geheimnisse direkt aus Key Vault abrufen.Apps can also use a VM's managed identity to retrieve secrets directly from Key Vault.

NetzwerksicherheitNetwork security

Netzwerksicherheitsgruppen (NSGs) filtern den Datenverkehr zwischen Ressourcen in virtuellen Azure-Netzwerken.Network security groups (NSGs) filter traffic between resources in Azure virtual networks. NSG-Sicherheitsregeln erlauben oder verweigern den Netzwerkdatenverkehr zu oder von Azure-Ressourcen basierend auf IP-Adressen und Ports.NSG security rules allow or deny network traffic to or from Azure resources based on IP addresses and ports. In der Standardeinstellung blockieren NSGs eingehenden Datenverkehr aus dem Internet, lassen jedoch ausgehende Verbindungen von VMS in das Internet zu.By default, NSGs block inbound traffic from the internet, but allow outbound connections from VMs to the internet. Um unbeabsichtigten ausgehenden Datenverkehr zu verhindern, fügen Sie eine benutzerdefinierte Regel mit der kleinstmöglichen Priorität 4096 hinzu, um den gesamten eingehenden und ausgehenden Datenverkehr zu blockieren.To prevent accidental outbound traffic, add a custom rule with the lowest possible priority, 4096, to block all inbound and outbound traffic. Anschließend können Sie Regeln mit höherer Priorität hinzufügen, um bestimmten Datenverkehr zuzulassen.You can then add higher-priority rules to allow specific traffic.

NSGs erstellen Flusseinträge für vorhandene Verbindungen und erlauben oder verweigern die Kommunikation je nach dem Verbindungsstatus des Flusseintrags.NSGs create flow records for existing connections, and allow or deny communication based on the flow record's connection state. Durch einen Flusseintrag kann eine NSG zustandsbehaftet sein.The flow record allows an NSG to be stateful. Wenn Sie beispielsweise eine Sicherheitsregel für Datenverkehr in ausgehender Richtung an eine beliebige Adresse über Port 443 angeben, ist es nicht erforderlich, für die Antwort eine Eingangssicherheitsregel anzugeben.For example, if you specify an outbound security rule to any address over port 443, it's not necessary to also specify an inbound security rule for the response. Sie müssen nur dann eine Eingangssicherheitsregel angeben, wenn die Kommunikation extern initiiert wird.You only need to specify an inbound security rule if the communication is initiated externally.

Die meisten Azure-Dienste ermöglichen es Ihnen, ein Diensttag für virtuelle Netzwerke anstelle einer NSG zu verwenden.Most Azure services allow you to use a virtual network service tag instead of an NSG. Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen eines Azure-Diensts dar und trägt dazu bei, die Komplexität häufiger Aktualisierungen der Netzwerksicherheitsregel zu minimieren.A service tag represents a group of IP address prefixes from an Azure service, and helps minimize complexity from frequent network security rule updates. Mithilfe eines Azure Key Vault-Diensttags kann ein virtueller Computer Zertifikate, Schlüssel und Geheimnisse aus Azure Key Vault abrufen.An Azure Key Vault service tag can allow a VM to retrieve certificates, keys, and secrets from Azure Key Vault.

Eine weitere Möglichkeit zum Steuern der Netzwerksicherheit besteht im Routing von Datenverkehr für virtuelle Netzwerke und der Tunnelerzwingung.Another way to control network security is through virtual network traffic routing and forced tunneling. Azure erstellt automatisch Systemrouten und weist die Routen allen Subnetzen eines virtuellen Netzwerks zu.Azure automatically creates system routes and assigns the routes to each subnet in a virtual network. Sie können zwar keine Systemrouten erstellen oder entfernen, aber einige Systemrouten mit benutzerdefinierten Routen überschreiben.You can't create or remove system routes, but you can override some system routes with custom routes. Mit benutzerdefiniertem Routing können Sie Datenverkehr über ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) wie eine Firewall oder einen Proxy weiterleiten oder unerwünschten Datenverkehr löschen; dies hat den gleichen Effekt wie das Blockieren des Datenverkehrs mit einer Netzwerksicherheitsgruppe.Custom routing lets you route traffic over a network virtual appliance (NVA) like a firewall or proxy, or drop unwanted traffic, which has a similar effect to blocking the traffic with an NSG.

Sie können NVAs wie Azure Firewall verwenden, um Netzwerkdatenverkehr zuzulassen, zu blockieren oder zu untersuchen.You can use NVAs like Azure Firewall to allow, block, and inspect network traffic. Azure Firewall ist ein verwalteter Plattform-Firewalldienst mit Hochverfügbarkeit.Azure Firewall is a managed, highly available platform firewall service. Sie können auch NVAs von Drittanbietern aus dem Azure Marketplace bereitstellen.You can also deploy third-party NVAs from the Azure Marketplace. Informationen dazu, wie Sie die Hochverfügbarkeit dieser NVAs sicherstellen, finden Sie unter Bereitstellen hochverfügbarer virtueller Netzwerkgeräte.To make these NVAs highly available, see Deploy highly available network virtual appliances.

AnwendungssicherheitsgruppenApplication security groups

Zum Filtern von Datenverkehr zwischen Anwendungsschichten innerhalb eines virtuellen Netzwerks verwenden Sie Anwendungssicherheitsgruppen (ASGs).To filter traffic between application tiers within a virtual network, use Application security groups (ASGs). Mit ASGs können Sie die Netzwerksicherheit als Erweiterung einer Anwendungsstruktur konfigurieren und VMs gruppieren sowie auf Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.ASGs let you configure network security as an extension of an application's structure, letting you group VMs and define network security policies based on the groups. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell pflegen müssen.You can reuse your security policy at scale without manually maintaining explicit IP addresses.

Anwendungssicherheitsgruppen

Da ASGs auf eine Netzwerkschnittstelle und nicht auf ein Subnetz angewendet werden, ermöglichen sie die Mikrosegmentierung.Since ASGs are applied to a network interface instead of a subnet, they enable micro-segmentation. Sie können genau steuern, welche VMs miteinander kommunizieren können und sogar den Datenverkehr zwischen VMs in derselben Schicht blockieren. Dies erleichtert es, eine VM in die Quarantäne zu verschieben, indem Sie ASGs von der betreffenden VM entfernen.You can tightly control which VMs can talk to each other, even blocking traffic between VMs in the same tier, and making it easy to quarantine a VM by removing ASGs from that VM.

HybridnetzwerkeHybrid networks

Hybridarchitekturen verbinden lokale Netzwerke mit öffentlichen Clouds wie Azure.Hybrid architectures connect on-premises networks with public clouds like Azure. Es gibt mehrere Möglichkeiten, lokale Netzwerke mit in Azure ausgeführten Anwendungen zu verbinden:There are several ways to connect on-premises networks to applications running in Azure:

  • Öffentlicher Endpunkt über das Internet.Public endpoint over the internet. Sie können sich auf Identitäten, Transport Level Security (HTTPS) und das Anwendungsgateway stützen, um die Anwendung zu schützen, möglicherweise in Verbindung mit einer Firewall.You can rely on identity, transport level security (HTTPS), and the application gateway to protect the application, potentially in combination with a firewall. Bei höchst sensiblen Workloads wird jedoch davon abgeraten, einen öffentlichen Endpunkt über das Internet verfügbar zu machen.However, for highly sensitive workloads, exposing a public endpoint over the internet isn't recommended.
  • Azure oder VPN-Gateway eines Drittanbieters.Azure or third-party VPN gateway. Sie können ein lokales Netzwerk über ein Azure-VPN-Gateway mit Azure verbinden.You can connect an on-premises network to Azure by using an Azure VPN gateway. Der Datenverkehr wird weiterhin über das Internet übertragen, jedoch über einen verschlüsselten Tunnel, der TLS verwendet.Traffic still travels over the internet, but over an encrypted tunnel that uses TLS. Sie können ein Gateway eines Drittanbieters auch auf einer VM ausführen, wenn bestimmte Anforderungen vom Azure-VPN-Gateway nicht unterstützt werden.You can also run a third-party gateway in a VM, if you have specific requirements not supported by the Azure VPN gateway.
  • ExpressRoute:ExpressRoute. ExpressRoute-Verbindungen nutzen eine dedizierte private Verbindung über einen Drittanbieter für die Konnektivität.ExpressRoute connections use a private, dedicated connection through a third-party connectivity provider. Die private Verbindung erweitert das lokale Netzwerk auf Azure und bietet Skalierbarkeit sowie eine zuverlässige Vereinbarung zum Service Level (SLA).The private connection extends your on-premises network into Azure, and provides scalability and a reliable service-level agreement (SLA).
    • ExpressRoute mit VPN-Failover.ExpressRoute with VPN failover. Diese Option verwendet unter normalen Bedingungen ExpressRoute, aber im Fall eines Konnektivitätsverlusts in der ExpressRoute-Leitung erfolgt ein Failover auf eine VPN-Verbindung.This option uses ExpressRoute in normal conditions, but fails over to a VPN connection if there's a loss of connectivity in the ExpressRoute circuit, providing higher availability.
    • VPN über ExpressRoute.VPN over ExpressRoute. Diese Option ist am besten für höchst sensible Workloads geeignet.This option is the best for highly sensitive workloads. Expressroute bietet eine private Leitung mit Skalierbarkeit und Zuverlässigkeit, und VPN stellt eine zusätzliche Schutzebene dar, welche die verschlüsselte Verbindung in einem bestimmten virtuellen Azure-Netzwerk abschließt.ExpressRoute provides a private circuit with scalability and reliability, and VPN provides an additional layer of protection that terminates the encrypted connection in a specific Azure virtual network.

Weitere Empfehlungen zur Entscheidung zwischen den verschiedenen Typen von Hybridkonnektivität finden Sie unter Auswählen einer Lösung zum Herstellen einer Verbindung zwischen einem lokalen Netzwerk und Azure.For more guidance on choosing between different types of hybrid connectivity, see Choose a solution for connecting an on-premises network to Azure.

Bereitstellen einer DMZDeploy a DMZ

Das Herstellen einer Verbindung zwischen einer lokalen Umgebung und Azure eröffnet lokalen Benutzern den Zugriff auf Azure-Anwendungen.Connecting on-premises and Azure environments gives on-premises users access to Azure applications. Ein Umkreisnetzwerk oder eine demilitarisierte Zone (DMZ) bietet zusätzlichen Schutz für höchst sensible Workloads.A perimeter network or demilitarized zone (DMZ) provides additional protection for highly sensitive workloads.

Bei einer Architektur wie der in Netzwerk-DMZ zwischen Azure und einem lokalen Rechenzentrum beschriebenen werden alle DMZ- und Anwendungsdienste im selben virtuellen Netzwerk bereitgestellt, mit NSG-Regeln und benutzerdefinierten Routen zum Isolieren der DMZ und der Anwendungssubnetze.An architecture like the one in Network DMZ between Azure and an on-premises datacenter deploys all DMZ and application services in the same virtual network, with NSG rules and user-defined routes to isolate the DMZ and application subnets. Mit dieser Architektur kann das Verwaltungssubnetz über das öffentliche Internet für die Verwaltung von Apps zugänglich gemacht werden, selbst wenn das lokale Gateway nicht verfügbar ist.This architecture can make the management subnet available via public internet, to manage apps even if the on-premises gateway isn't available. Bei höchst sensiblen Workloads sollten Sie das Umgehen des Gateways jedoch nur in einem Break Glass-Szenario (Notfallzugriff) gestatten.However, for highly sensitive workloads, you should only allow bypassing the gateway in a break glass scenario. Eine bessere Lösung besteht in der Verwendung von Azure Bastion. Hier wird der Zugriff direkt aus dem Azure-Portal ermöglicht, wobei die Offenlegung öffentlicher IP-Adressen beschränkt wird.A better solution is to use Azure Bastion, which enables access directly from the Azure portal while limiting exposure of public IP addresses.

Sie können auch den JIT-VM-Zugriff (Just-In-Time) für die Remoteverwaltung nutzen und die Offenlegung öffentlicher IP-Adressen beschränken.You can also use Just-In-Time (JIT) VM access for remote management while limiting exposure of public IP addresses. Mit JIT-VM-Zugriff blockiert eine NSG standardmäßig Ports für die Remoteverwaltung wie RDP (Remote Desktop Protocol) und SSH (Secure Shell) .With JIT VM access, an NSG blocks remote management ports like remote desktop protocol (RDP) and secure shell (SSH) by default. Auf Anforderung aktiviert der JIT-VM-Zugriff den Port für einen bestimmten Zeitraum und möglicherweise nur für eine bestimmte IP-Adresse oder einen bestimmten IP-Adressbereich.Upon request, JIT VM access enables the port only for a specified time window, and potentially for a specific IP address or range. Der JIT-Zugriff funktioniert auch für VMs, die ausschließlich private IP-Adressen verfügen.JIT access also works for VMs that have only private IP addresses. Sie können den Datenverkehr zu einer VM mit Azure Bastion blockieren, bis der JIT-VM-Zugriff aktiviert wird.You can use Azure Bastion to block traffic to a VM until JIT VM access is enabled.

Zum Bereitstellen weiterer Anwendungen können Sie eine Hub-Spoke-Netzwerktopologie in Azure verwenden, wobei sich die DMZ im virtuellen Hub-Netzwerk befindet, während sich die Anwendungen in den virtuellen Spoke-Netzwerken befinden.To deploy more applications, you can use a hub-spoke network topology in Azure, with the DMZ in the hub virtual network and the applications in spoke virtual networks. Das virtuelle Hub-Netzwerk kann ein VPN- und/oder ExpressRoute-Gateway, eine Firewall-NVA, Verwaltungshosts, eine Identitätsinfrastruktur und andere gemeinsame Dienste einschließen.The hub virtual network can contain a VPN and/or ExpressRoute gateway, firewall NVA, management hosts, identity infrastructure, and other shared services. Die virtuellen Netzwerke werden über Peering virtueller Netzwerke mit dem Hub verbunden.The spoke virtual networks are connected to the hub with virtual network peering. Ein virtuelles Azure-Netzwerk lässt kein transitives Routing zwischen Spokes über den Hub zu.An Azure virtual network doesn't allow transitive routing over the hub from one spoke to another. Der Datenverkehr zwischen Spokes ist nur über die Firewall-Appliances im Hub möglich.Spoke-to-spoke traffic is only possible via the firewall appliances in the hub. Durch diese Architektur werden Anwendungen effektiv voneinander isoliert.This architecture effectively isolates applications from one another.

Bereitstellung in mehreren RegionenMulti-region deployment

Für Geschäftskontinuität und Notfallwiederherstellung muss Ihre Anwendung möglicherweise in mehreren Azure-Regionen bereitgestellt werden, wodurch Datenresidenz und Datensicherheit beeinträchtigt werden.Business continuity and disaster recovery might require deploying your application across multiple Azure regions, which can impact data residency and security. Eine Referenzarchitektur für Bereitstellungen in mehreren Regionen finden Sie unter Ausführen einer n-schichtigen Anwendung in mehreren Azure-Regionen für Hochverfügbarkeit.For a reference architecture for multi-region deployments, see Run an N-tier application in multiple Azure regions for high availability.

RegionspaareRegional pairs

Bei einem Azure-Gebiet handelt es sich um einen definierten Bereich der Erde, der mindestens eine Azure-Region mit einem oder mehreren Rechenzentren enthält.An Azure geography is a defined area of the world that contains at least one Azure region, each with one or more datacenters. Jede Azure-Region ist mit einer anderen Region innerhalb desselben geografischen Gebiets in einem Regionspaar gepaart.Each Azure region is paired with another region in the same geography in a regional pair. Regionen in Regionspaaren werden nicht gleichzeitig aktualisiert, und wenn eine Katastrophe beiden Regionen auftritt, wird eine der Regionen mit Priorität zuerst wieder online geschaltet.Regional pairs aren't both updated at the same time, and if a disaster hits both regions, one of the regions is prioritized to come back online first. Für die Geschäftskontinuität sollten Sie höchst sensible Apps bei der Bereitstellung in mehreren Regionen mindestens in Regionspaaren bereitstellen.For business continuity, you should deploy highly sensitive apps at least to regional pairs if you deploy in multiple regions.

Weitere Einzelheiten hierzu finden Sie unter Geschäftskontinuität und Notfallwiederherstellung: Azure-Regionspaare.For more details, see Business continuity and disaster recovery (BCDR): Azure Paired Regions. Im Whitepaper Sicherheit und Compliance bei der Speicherung von Benutzerdaten mit Azure werden die Datenresidenz und zu erfüllende Anforderungen hinsichtlich der Datenresidenz erläutert.The whitepaper Achieve compliant data residency and security with Azure discusses data residency, and what to do to meet data residency requirements.

Replikation zwischen RegionenReplication between regions

In IaaS-Architekturen ist die Anwendung für das Replizieren der Daten zwischen Regionen zuständig.In IaaS architectures, replicating data between regions is the responsibility of the application. Im gängigsten Replikationsszenario werden in das Datenbankserverprodukt integrierte Datenbank-Replikationstechnologien verwendet, z. B. SQL Server-AlwaysOn-Verfügbarkeitsgruppen, Oracle Data Guard, oder MySQL-Replikation.The most common replication scenario uses database replication technologies built into the database server product, such as SQL Server Always On Availability Groups, Oracle Data Guard, or MySQL Replication.

Das Einrichten der Replikation zwischen IaaS-Datenbankservern ist kompliziert, und Sie müssen Anforderungen der Geschäftskontinuität berücksichtigen.Setting up replication between IaaS database servers isn't straightforward, and you need to take business continuity requirements into account. Azure-Datenbankdienste wie Azure SQL-Datenbank, Azure Database for MySQL und Cosmos DB erleichtern die Replikation zwischen Regionen, erfüllen jedoch u. U. nicht die Sicherheitsanforderungen in Bezug auf höchst sensible Workloads.Azure database services such as Azure SQL Database, Azure Database for MySQL, and Cosmos DB make replication between regions easier, but may not meet security requirements for highly sensitive workloads.

Weitere Informationen und Anleitungen zu SQL Server- und Oracle-Bereitstellungen in mehreren Regionen finden Sie in folgenden Artikeln:For more information and guidance for multi-region SQL Server and Oracle deployments, see:

Regionsübergreifendes PeeringCross-region peering

Sie können die sichere Kommunikation zwischen virtuellen Netzwerken in verschiedenen Regionen durch das globale Peering virtueller Netzwerke ermöglichen.You can enable secure communication between virtual networks in different regions by using global virtual network peering. Das globale Peering funktioniert genauso wie das Peering innerhalb einer Region.Global peering works the same as within-region peering. Der Datenverkehr zwischen Regionen wird über den Microsoft-Backbone ausgeführt, er durchläuft nicht das Internet und ist von anderem Datenverkehr isoliert.The traffic between regions runs over the Microsoft backbone, doesn't traverse the internet, and is isolated from other traffic. Eine höhere Sicherheit erzielen Sie, wenn Sie VPN-NVAs in beiden Regionen bereitstellen und benutzerdefinierte Routen verwenden, um den Datenverkehr zwischen Regionen über die NVAs zu erzwingen, ähnlich wie beim Bereitstellen einer DMZ.For more security, you can deploy VPN NVAs in both regions, and use user-defined routes to force traffic between regions over the NVAs, similar to deploying a DMZ.

Routing für FailoverdatenverkehrFailover traffic routing

Mit öffentlichen Endpunkten können Sie Traffic Manager oder Azure Front Door verwenden, um Datenverkehr an die aktive Region oder die nächstgelegene Region in einer Aktiv/Aktiv-Failoverkonfiguration weiterzuleiten.With public endpoints, you can use Traffic Manager or Azure Front Door to direct traffic to the active region or closest region in an active-active failover configuration. Allerdings erfordern sowohl Traffic Manager als auch Azure Front Door zum Überwachen der Verfügbarkeit öffentliche Endpunkte, und deren entsprechende DNS-Einträge sind öffentlich.However, Traffic Manager and Azure Front Door both require public endpoints to monitor availability, and their corresponding DNS entries are public. Bei höchst sensiblen Workloads besteht eine alternative Lösung darin, DNS lokal bereitzustellen und die Einträge für das Failover in die aktive Region zu ändern.For highly sensitive workloads, the alternative solution is to deploy DNS on-premises, and change the entries to the active region for failover.

Verwaltung und GovernanceManagement and governance

Das Sichern Ihrer höchst sensiblen IaaS-Apps erfordert mehr als lediglich das Bereitstellen der richtigen Architekturen und das Implementieren von Netzwerksicherheitsregeln.Securing your highly sensitive IaaS apps requires more than just deploying the correct architectures and implementing network security rules. Da Cloudumgebungen leicht geändert werden können, muss unbedingt sichergestellt werden, dass Änderungen nur mit bestimmten Berechtigungen und innerhalb der Vorgaben der Sicherheitsrichtlinien vorgenommen werden können.Because cloud environments are easily changed, it's especially important to ensure changes can be made only with certain permissions, and within the boundaries of security policies. Sie müssen beispielsweise verhindern, dass böswillige Akteure eine Netzwerksicherheitsregel ändern können, um Datenverkehr aus dem Internet zuzulassen.For example, you must prevent a malicious actor from being able to change a network security rule to allow traffic from the internet.

Zum Bereitstellen von Workloads in Azure benötigen Sie mindestens ein Verwaltungskonto.To deploy workloads in Azure, you need one or more management accounts. Das Sichern von Verwaltungskonten ist unerlässlich, um Ihre Workloads zu schützen.Securing management accounts is critical to securing your workloads. Weitere Informationen finden Sie unter Schützen des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Azure AD.For more information, see Secure privileged access for hybrid and cloud deployments in Azure AD.

Verwenden Sie die Ressourcen in Ihrem Verwaltungssubnetz, um den Zugriff auf die App-Ebene nur Personen zu gewähren, die diese Schicht verwalten müssen.Use the resources in your management subnet to grant app tier access only to people who need to manage that tier. Sie können beispielsweise Microsoft Identity Manager mit Azure Active Directory (Azure AD) verwenden.For example, you can use Microsoft Identity Manager with Azure Active Directory (Azure AD). Bei cloudnativen Szenarien ist jedoch Azure AD Privileged Identity Management (PIM) zu bevorzugen.However, for cloud-native scenarios, Azure AD Privileged Identity Management (PIM) is preferred.

Es gibt eine Reihe weiterer Möglichkeiten zum Steuern von Azure-Rollen und -Richtlinien:There are several other ways to control Azure roles and policies:

  • Mit der rollenbasierten Zugriffssteuerung (RBAC) für Azure-Ressourcen können Sie Benutzern integrierte oder benutzerdefinierte Rollen zuweisen, sodass sie nur über die tatsächlich erforderlichen Berechtigungen verfügen.Role based access control (RBAC) for Azure resources lets you assign built-in or custom roles to users, so they have only the privileges they need. Sie können RBAC mit PIM kombinieren, um einen überwachten Genehmigungsworkflow zu implementieren, der Berechtigungen für einen begrenzten Zeitraum heraufstuft.You can combine RBAC with PIM to implement an audited approval workflow that elevates privileges for a limited time period.
  • Richtlinien erzwingen Unternehmensregeln, Standards und SLAs.Policies enforce corporate rules, standards, and SLAs. Azure Policy ist ein Azure-Dienst, der Richtlinien erstellt, zuweist und verwaltet und die Konformität Ihrer Ressourcen in Bezug auf die Richtlinie bewertet.Azure Policy is an Azure service that creates, assigns, and manages policies, and evaluates your resources for policy compliance.
  • In Azure Blueprints werden Rollenzuweisungen, Richtlinienzuweisungen und Bereitstellungsvorlagen kombiniert, um eine Gruppe von replizierbaren Azure-Ressourcen zu definieren, welche die Standards, Muster und Anforderungen einer Organisation implementieren und für deren Einhaltung sorgen.Azure Blueprints combine role assignments, policy assignments, and deployment templates to define a set of replicable Azure resources that implement and follow an organization's standards, patterns, and requirements. Blaupausen sind eine deklarative Möglichkeit zum Orchestrieren der Bereitstellung von Ressourcenvorlagen und anderen Artefakten.Blueprints are a declarative way to orchestrate the deployment of resource templates and other artifacts. Sie können selbst Blaupausen erstellen oder vorhandene Blaupausen nutzen.You can create blueprints yourself, or leverage existing blueprints. Die Blaupause ISO 27001: Gemeinsame Dienste stellt beispielsweise einen Hub für gemeinsame Dienste bereit, den Sie entsprechend den Anforderungen Ihrer Organisation ändern und ergänzen können.For example, the ISO 27001 Shared Services blueprint deploys a shared services hub that you can modify and extend to your organization's requirements.

ÜberwachungMonitoring

Azure Security Center bietet Überwachung und Warnungen, mit deren Hilfe Sie die Sicherheit Ihrer Umgebung gewährleisten können.Azure Security Center provides monitoring and alerts that help you maintain security of your environment. Der kostenlose Dienst sucht automatisch nach Sicherheitsrisiken, z. B. nach fehlenden Betriebssystempatches, Sicherheitsfehlkonfiguration und Mängeln der grundlegenden Netzwerksicherheit.The free service automatically checks for vulnerabilities such as missing OS patches, security misconfiguration, and basic network security. Mit der kostenpflichtigen Standardversion erhalten Sie zusätzliche Features wie Verhaltensanalyse, Adaptives Erhöhen des Netzwerkschutzes und JIT-VM-Zugriff.The Standard paid version gives you additional features, such as behavioral analytics, Adaptive Network Hardening, and JIT VM access. Eine vollständige Liste der Features finden Sie unter Funktionsabdeckung für Computer.For a full list of features, see Feature coverage for machines. Security Center bietet außerdem Bedrohungsschutz für andere Ressourcen wie Azure Key Vault.Security Center also provides threat protection for other resources like Azure Key Vault.

Sie können Azure Monitor für die weiterführende Überwachung und Analyse verwenden.You can use Azure Monitor for further monitoring and analysis. Zum Überwachen von Identität und Zugriff können Sie Azure AD-Aktivitätsprotokolle an Azure Monitor weiterleiten.To monitor identity and access, you can route Azure AD activity logs to Azure Monitor. Außerdem können Sie VMs, Netzwerke und Azure Firewall überwachen sowie importierte Protokolle mit der Protokollabfrage-Funktion analysieren.You can also monitor VMs, networks, and Azure Firewall, and analyze imported logs with powerful log query capability. Sie können Azure Monitor mit Ihrer Security Information and Event Management (SIEM) -Instanz integrieren; dies kann ein SIEM eines Drittanbieters oder Azure Sentinel sein.You can integrate Azure Monitor with your Security Information and Event Manager (SIEM), which can be a third-party SIEM or Azure Sentinel.