Bewährte Methoden zum Sichern und Verwalten von Workloads, die zu Azure migriert werdenBest practices to secure and manage workloads migrated to Azure

Wenn Sie eine Migration zu Azure planen, sollten Sie nicht nur eine Strategie für die Migration selbst entwerfen, sondern müssen auch ein neues Sicherheits- und Verwaltungsmodell konzipieren, das nach der Migration angewendet werden soll.As you plan and design for migration, in addition to thinking about the migration itself, you need to consider your security and management model in Azure after migration. Dieser Artikel enthält Informationen zur Planung sowie bewährte Methoden zum Schutz Ihrer Azure-Bereitstellung nach der Migration.This article describes planning and best practices for securing your Azure deployment after migrating. Außerdem finden Sie hier Informationen zu laufenden Aufgaben, mit denen Sie die optimale Ausführung Ihrer Bereitstellung sicherstellen können.It also covers ongoing tasks to keep your deployment running at an optimal level.

Wichtig

Die in diesem Artikel beschriebenen Best Practices und Meinungen basieren auf Azure-Plattform- und -Dienstfeatures, die zu dem Zeitpunkt verfügbar waren, zu dem dieser Artikel verfasst wurde.The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. Features und Funktionen ändern sich im Laufe der Zeit.Features and capabilities change over time.

Sichern von migrierten WorkloadsSecure migrated workloads

Nach der Migration besteht die wichtigste Aufgabe darin, die migrierten Workloads vor internen und externen Bedrohungen zu schützen.After migration, the most critical task is to secure migrated workloads from internal and external threats. Folgende Best Practices helfen Ihnen dabei:These best practices help you to do that:

  • Erfahren Sie, wie Sie die Überwachungsfunktionen, Bewertungen und Empfehlungen von Azure Security Center verwenden.Learn how to work with the monitoring, assessments, and recommendations provided by Azure Security Center.
  • Lernen Sie die Best Practices zum Verschlüsseln Ihrer Daten in Azure kennen.Get best practices for encrypting your data in Azure.
  • Schützen Sie Ihre VMs vor Schadsoftware und Angriffen.Protect your VMs from malware and malicious attacks.
  • Sorgen Sie für die Sicherheit von Informationen in migrierten Web-Apps.Keep sensitive information secure in migrated web apps.
  • Überprüfen Sie, wer nach der Migration auf Ihre Azure-Abonnements und -Ressourcen zugreifen kann.Verify who can access your Azure subscriptions and resources after migration.
  • Überprüfen Sie Ihre Azure-Überwachungs- und -Sicherheitsprotokolle in regelmäßigen Abständen.Review your Azure auditing and security logs on a regular basis.
  • Verstehen und bewerten Sie die erweiterten Sicherheitsfeatures, die Azure bietet.Understand and evaluate advanced security features that Azure offers.

Diese bewährten Methoden werden in den folgenden Abschnitten ausführlicher beschrieben.These best practices are described in more detail in the sections that follow.

Bewährte Methode: Befolgen der Azure Security Center-EmpfehlungenBest practice: Follow Azure Security Center recommendations

Azure-Mandantenadministratoren müssen Sicherheitsfeatures aktivieren, um Workloads vor Angriffen zu schützen.Azure tenant admins need to enable security features that protect workloads from attacks. Security Center bietet eine einheitliche Sicherheitsverwaltung.Security Center provides unified security management. In Security Center können Sie Sicherheitsrichtlinien für Ihre Workloads anwenden, die Angriffsfläche für Bedrohungen verringern sowie Angriffe erkennen und darauf reagieren.From Security Center, you can apply security policies across workloads, limit threat exposure, and detect and respond to attacks. Security Center analysiert Ressourcen und Konfigurationen für mehrere Azure-Mandanten und gibt Sicherheitsempfehlungen ab. Im Anschluss folgen einige Beispiele:Security Center analyzes resources and configurations across Azure tenants, and makes security recommendations, including:

  • Zentrale Richtlinienverwaltung: Stellen Sie die Einhaltung unternehmensspezifischer oder gesetzlicher Sicherheitsvorschriften sicher, indem Sie Sicherheitsrichtlinien für alle Hybridcloud-Workloads zentral verwalten.Centralized policy management: Ensure compliance with company or regulatory security requirements by centrally managing security policies across all your hybrid cloud workloads.
  • Laufende Sicherheitsbewertung: Überwachen Sie den Sicherheitsstatus von Computern, Netzwerken, Speicher- und Datendiensten und Anwendungen, um potenzielle Sicherheitsprobleme aufzudecken.Continuous security assessment: Monitor the security posture of machines, networks, storage and data services, and applications to discover potential security issues.
  • Umsetzbare Empfehlungen: Beseitigen Sie mit priorisierten, direkt umsetzbaren Sicherheitsempfehlungen Sicherheitslücken, bevor sie von Angreifern ausgenutzt werden können.Actionable recommendations: Remediate security vulnerabilities before they can be exploited by attackers, with prioritized and actionable security recommendations.
  • Priorisierte Warnungen und Vorfälle: Konzentrieren Sie sich mittels priorisierter Warnungen und Vorfälle auf die größten Bedrohungen.Prioritized alerts and incidents: Focus on the most critical threats first, with prioritized security alerts and incidents.

Zusätzlich zu Bewertungen und Empfehlungen stellt Security Center weitere Sicherheitsfeatures bereit, die für bestimmte Ressourcen aktiviert werden können.In addition to assessments and recommendations, Security Center provides other security features that you can enable for specific resources.

  • Just-in-Time-Zugriff (JIT):Just-in-time (JIT) access. Verringern Sie die Angriffsfläche in Ihrem Netzwerk mit kontrolliertem JIT-Zugriff (Just-In-Time) auf Verwaltungsports für virtuelle Azure-Computer.Reduce your network attack surface with JIT, controlled access to management ports on Azure VMs.
    • Ist der RDP-Port 3389 auf einem virtuellen Computer geöffnet, ist dieser Computer dauerhaft der Gefahr von Aktivitäten durch böswillige Benutzer ausgesetzt.Having VM RDP port 3389 open on the internet exposes VMs to continual activity from bad actors. Azure-IP-Adressen sind bekannt, und Hacker prüfen sie immer wieder auf offene 3389-Ports.Azure IP addresses are well-known, and hackers continually probe them for attacks on open 3389 ports.
    • Beim JIT-Zugriff werden Netzwerksicherheitsgruppen und Regeln für eingehenden Datenverkehr verwendet, die den Zeitraum begrenzen, für den ein bestimmter Port geöffnet ist.JIT uses network security groups (NSGs) and incoming rules that limit the amount of time that a specific port is open.
    • Bei aktiviertem JIT-Zugriff wird von Security Center überprüft, ob einem Benutzer über die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) Schreibzugriffsberechtigungen für einen virtuellen Computer erteilt wurden.With JIT access enabled, Security Center checks that a user has Azure role-based access control (Azure RBAC) write access permissions for a VM. Darüber hinaus können Sie Regeln dafür festlegen, wie Benutzer Verbindungen mit virtuellen Computern herstellen können.In addition, you can specify rules for how users can connect to VMs. Sind die Berechtigungen in Ordnung, wird eine Zugriffsanforderung genehmigt, und Security Center konfiguriert Netzwerksicherheitsgruppen automatisch so, dass für den von Ihnen angegebenen Zeitraum eingehender Datenverkehr an die ausgewählten Ports zugelassen wird.If permissions are OK, an access request is approved, and Security Center configures NSGs to allow inbound traffic to the selected ports for the amount of time you specify. Netzwerksicherheitsgruppen werden nach Ablauf des Zeitraums in ihren vorherigen Zustand zurückversetzt.NSGs return to their previous state when the time expires.
  • Adaptive Anwendungssteuerungen:Adaptive application controls. Halten Sie Software und Schadsoftware von Ihren virtuellen Computern fern, indem Sie mit dynamischen Zulassungslisten steuern, welche Anwendungen auf den Computern ausgeführt werden.Keep software and malware off VMs by controlling which applications run on them, by using dynamic allow lists.
    • Mit adaptiven Anwendungssteuerungen können Sie Anwendungen genehmigen und verhindern, dass Benutzer oder Administratoren, die nicht über die entsprechenden Berechtigungen verfügen, nicht genehmigte oder nicht überprüfte Anwendungen auf Ihren VMs installieren.Adaptive application controls allow you to approve applications, and prevent rogue users or administrators from installing unapproved or vetting software applications on your VMs.
      • Sie können Versuche zum Ausführen von schädlichen Anwendungen blockieren oder davor warnen, unerwünschte oder schädliche Anwendungen vermeiden und die Konformität mit der Anwendungssicherheitsrichtlinie Ihrer Organisation sicherstellen.You can block or alert attempts to run malicious applications, avoid unwanted or malicious applications, and ensure compliance with your organization's application security policy.
  • Überwachen der Dateiintegrität:File Integrity Monitoring. Stellen Sie die Integrität von Dateien sicher, die auf VMs ausgeführt werden.Ensure the integrity of files running on VMs.
    • Probleme auf VMs treten nicht nur nach der Installation von Software auf.You don't need to install software to cause VM issues. Die Änderung einer Systemdatei kann auch zum Ausfall oder zur Leistungsbeeinträchtigung eines virtuellen Computers führen.Changing a system file can also cause VM failure or performance degradation. Die Überwachung der Dateiintegrität untersucht Systemdateien und Registrierungseinstellungen auf Änderungen und benachrichtigt Sie, wenn ein Element aktualisiert wurde.File Integrity Monitoring examines system files and registry settings for changes, and notifies you if something is updated.
    • Security Center empfiehlt die Dateien, die Sie überwachen sollten.Security Center recommends which files you should monitor.

Weitere Informationen:Learn more:

Bewährte Methode: Verschlüsseln von DatenBest practice: Encrypt data

Die Verschlüsselung ist ein wichtiger Bestandteil der Azure-Sicherheitsmaßnahmen.Encryption is an important part of Azure security practices. Indem Sie sicherstellen, dass die Verschlüsselung auf allen Ebenen aktiviert ist, können Sie verhindern, dass nicht autorisierte Parteien Zugriff auf vertrauliche Daten erhalten. Dies gilt für Daten während der Übertragung und für ruhende Daten.Ensuring that encryption is enabled at all levels helps prevent unauthorized parties from gaining access to sensitive data, including data in transit and at rest.

Verschlüsselung für Infrastructure-as-a-ServiceEncryption for infrastructure as a service

  • Virtuelle Computer: Zum Verschlüsseln von Infrastructure-as-a-Service-VM-Datenträgern (IaaS) unter Windows und Linux können Sie Azure Disk Encryption verwenden.Virtual machines: For VMs, you can use Azure Disk Encryption to encrypt your Windows and Linux infrastructure as a service (IaaS) VM disks.
    • Azure Disk Encryption verwendet BitLocker für Windows und dm-crypt für Linux, um Volumeverschlüsselung für die Betriebssystemdatenträger und die regulären Datenträger bereitzustellen.Azure Disk Encryption uses BitLocker for Windows, and dm-crypt for Linux, to provide volume encryption for the operating system and data disks.
    • Sie können einen von Azure erstellten Verschlüsselungsschlüssel verwenden oder eigene Verschlüsselungsschlüssel bereitstellen, die in Azure Key Vault geschützt sind.You can use an encryption key created by Azure, or you can supply your own encryption keys, safeguarded in Azure Key Vault.
    • Mit Azure Disk Encryption werden IaaS-VM-Daten im Ruhezustand (auf dem Datenträger) und während des VM-Starts gesichert.With Azure Disk Encryption, IaaS VM data is secured at rest (on the disk) and during VM boot.
      • Security Center warnt Sie, wenn VMs nicht verschlüsselt sind.Security Center alerts you if you have VMs that aren't encrypted.
  • Speicher: Schützen Sie ruhende, in Azure Storage gespeicherte Daten.Storage: Protect at-rest data stored in Azure Storage.
    • Daten in Azure Storage-Konten können mithilfe von AES-Schlüsseln verschlüsselt werden, die von Microsoft generiert werden und mit FIPS 140-2 konform sind. Alternativ können auch eigene Schlüssel verwendet werden.Data stored in Azure Storage accounts can be encrypted by using Microsoft-generated AES keys that are FIPS 140-2 compliant, or you can use your own keys.
    • Die Azure Storage-Verschlüsselung wird für alle neuen und bereits vorhandenen Speicherkonten aktiviert und kann nicht deaktiviert werden.Azure Storage encryption is enabled for all new and existing storage accounts, and it can't be disabled.

Verschlüsselung für Platform-as-a-ServiceEncryption for platform as a service

Im Gegensatz zum IaaS-Konzept, bei dem Sie Ihre eigenen virtuellen Computer und Ihre eigene Infrastruktur verwalten, werden beim Platform-as-a-Service-Modell (PaaS) Plattform und Infrastruktur vom Anbieter verwaltet.Unlike IaaS, in which you manage your own VMs and infrastructure, in a platform as a service (PaaS) model platform and infrastructure is managed by the provider. Dadurch können Sie sich ganz auf die Anwendungslogik und -funktionen konzentrieren.You can focus on core application logic and capabilities. Es gibt sehr viele verschiedene Arten von PaaS-Diensten, daher wird jeder Dienst einzeln hinsichtlich der Sicherheit bewertet.With so many different types of PaaS services, each service is evaluated individually for security purposes. Als Beispiel soll hier die Aktivierung der Verschlüsselung für Azure SQL-Datenbank dienen.As an example, let's see how you might enable encryption for Azure SQL Database.

  • Always Encrypted: Verwenden Sie den Always Encrypted-Assistenten in SQL Server Management Studio, um ruhende Daten zu schützen.Always Encrypted: Use the Always Encrypted wizard in SQL Server Management Studio to protect data at rest.
    • Sie erstellen einen Always Encrypted-Schlüssel, um einzelne Spaltendaten zu verschlüsseln.You create an Always Encrypted key to encrypt individual column data.
    • Always Encrypted-Schlüssel können verschlüsselt in den Datenbankmetadaten oder in vertrauenswürdigen Speichern wie Azure Key Vault gespeichert werden.Always Encrypted keys can be stored as encrypted in database metadata, or stored in trusted key stores such as Azure Key Vault.
    • Höchstwahrscheinlich müssen Sie Änderungen an der Anwendung vornehmen, um dieses Feature nutzen zu können.Most likely, you'll need to make application changes to use this feature.
  • Transparent Data Encryption (TDE): Schützen Sie die Azure SQL-Datenbank mit Echtzeitverschlüsselung und -entschlüsselung der Datenbank, der zugehörigen Sicherungen und der ruhenden Transaktionsprotokolldateien.Transparent data encryption (TDE): Protect the Azure SQL Database with real-time encryption and decryption of the database, associated backups, and transaction log files at rest.
    • TDE ermöglicht die Ausführung von Verschlüsselungsaktivitäten ohne Änderungen auf der Anwendungsebene.TDE allows encryption activities to take place without changes at the application layer.
    • TDE kann von Microsoft bereitgestellte Verschlüsselungsschlüssel oder Ihren eigenen Schlüssel (Bring Your Own Key, BYOK) verwenden.TDE can use encryption keys provided by Microsoft, or you can bring your own key.

Weitere Informationen:Learn more:

Bewährte Methode: Schützen von VMs mit AntischadsoftwareBest practice: Protect VMs with antimalware

Insbesondere auf älteren virtuellen Computern, die zu Azure migriert wurden, ist unter Umständen nicht die richtige Antischadsoftware installiert.In particular, older Azure-migrated VMs might not have the appropriate level of antimalware installed. Azure bietet eine kostenlose Endpunktlösung, mit der Sie VMs vor Viren, Spyware und anderer Schadsoftware schützen können.Azure provides a free endpoint solution that helps protect VMs from viruses, spyware, and other malware.

  • Microsoft Antimalware für Azure Cloud Services und Virtual Machines generiert Warnungen, wenn bekannte schädliche oder unerwünschte Software versucht, sich selbst zu installieren.Microsoft Antimalware for Azure Cloud Services and Virtual Machines generates alerts when known malicious or unwanted software tries to install itself.

  • Es handelt sich um eine Lösung mit einem Agent, die ohne Benutzereingriff im Hintergrund ausgeführt wird.It's a single agent solution that runs in the background without human intervention.

  • In Security Center können Sie ganz einfach diejenigen VMs identifizieren, auf denen kein Endpunktschutz ausgeführt wird, und bei Bedarf Microsoft Antimalware installieren.In Security Center, you can identify VMs that don't have endpoint protection running and install Microsoft antimalware as needed.

    Screenshot: Antischadsoftware für virtuelle Computer Abbildung 1: Antischadsoftware für virtuelle ComputerScreenshot of Antimalware for VMs. Figure 1: Antimalware for VMs.

Weitere Informationen:Learn more:

Bewährte Methode: Sichern von Web-AppsBest practice: Secure web apps

Bei migrierten Web-Apps können einige Probleme auftreten:Migrated web apps face a couple of issues:

  • In vielen älteren Webanwendungen befinden sich vertrauliche Informationen in Konfigurationsdateien.Most legacy web applications tend to have sensitive information inside configuration files. Dateien, die solche Informationen enthalten, können zu Sicherheitsproblemen führen, wenn Anwendungen gesichert werden oder wenn Anwendungscode in die Quellcodeverwaltung eingecheckt oder daraus ausgecheckt wird.Files containing such information can present security issues when applications are backed up, or when application code is checked into or out of source control.
  • Wenn Sie Web-Apps migrieren, die sich auf einem virtuellen Computer befinden, verlagern Sie wahrscheinlich diesen Computer aus einer Umgebung mit lokalem Netzwerk und Firewallschutz in eine Umgebung mit Internetzugriff.When you migrate web apps residing in a VM, you're likely moving that machine from an on-premises network and firewall-protected environment, to an environment facing the internet. Stellen Sie sicher, dass Sie eine Lösung einrichten, die dieselben Aufgaben erfüllt wie Ihre lokalen Schutzressourcen.Make sure that you set up a solution that does the same work as your on-premises protection resources.

Azure bietet folgende Lösungen:Azure provides the following solutions:

  • Azure Key Vault: Heute unternehmen Web-App-Entwickler Schritte, um sicherzustellen, dass vertrauliche Informationen nicht aus diesen Dateien ausgelesen werden können.Azure Key Vault: Today, web app developers are taking steps to ensure that sensitive information isn't leaked from these files. Eine Methode zum Sichern von Informationen besteht darin, diese aus den Dateien zu extrahieren und in einem Azure Key Vault zu speichern.One method to secure information is to extract it from files and put it into an Azure Key Vault.

    • Sie können Key Vault verwenden, um Anwendungsgeheimnisse zentral zu speichern und ihre Verteilung zu steuern.You can use Key Vault to centralize storage of application secrets, and control their distribution. So müssen Sicherheitsinformationen nicht mehr in Anwendungsdateien gespeichert werden.It avoids the need to store security information in application files.
    • Anwendungen können über URIs sicher und ohne benutzerdefinierten Code auf Informationen im Tresor zugreifen.Applications can securely access information in the vault by using URIs, without needing custom code.
    • Mit Azure Key Vault können Sie den Zugriff über Azure-Sicherheitssteuerungen sperren und nahtlos ein Schlüsselrollover implementieren.Azure Key Vault allows you to lock down access via Azure security controls, and to seamlessly implement rolling keys. Microsoft kann Ihre Daten weder einsehen noch extrahieren.Microsoft doesn't see or extract your data.
  • App Service-Umgebung für Power Apps: Wenn eine Anwendung, die Sie migrieren möchten, zusätzlichen Schutz benötigt, können Sie eine App Service-Umgebung und eine Web Application Firewall hinzufügen, um die Anwendungsressourcen zu schützen.App Service Environment for Power Apps: If an application that you migrate needs extra protection, consider adding App Service Environment and Web Application Firewall to protect the application resources.

    • Die App Service-Umgebung stellt eine vollständig isolierte und dedizierte Umgebung bereit, in der Anwendungen wie Windows- und Linux-Web-Apps, Docker-Container, mobile Apps und Funktions-Apps ausgeführt werden können.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and function apps.
    • Dies ist hilfreich für Anwendungen auf sehr hoher Ebene, die Isolierung und sicheren Netzwerkzugriff erfordern oder viel Arbeitsspeicher benötigen.It's useful for applications that are very high scale, require isolation and secure network access, or have high memory utilization.
  • Web Application Firewall: Dieses Feature von Azure Application Gateway bietet zentralisierten Schutz für Web-Apps.Web Application Firewall: This is a feature of Azure Application Gateway that provides centralized protection for web apps.

    • Es schützt Web-Apps, ohne das dafür Änderungen am Back-End-Code erforderlich sind.It protects web apps without requiring back-end code modifications.
    • Es schützt mehrere Web-Apps gleichzeitig hinter Application Gateway.It protects multiple web apps at the same time, behind Application Gateway.
    • Die Web Application Firewall kann mithilfe von Azure Monitor überwacht werden.You can monitor Web Application Firewall by using Azure Monitor. Die Web Application Firewall ist in Security Center integriert.Web Application Firewall is integrated into Security Center.

    Diagramm: Azure Key Vault und sichere Web-Apps Abbildung 2: Azure Key VaultDiagram of Azure Key Vault and secure web apps. Figure 2: Azure Key Vault.

Weitere Informationen:Learn more:

Bewährte Methode: Überprüfen von Abonnements und RessourcenberechtigungenBest practice: Review subscriptions and resource permissions

Wenn Sie Ihre Workloads migrieren und in Azure ausführen, können Mitarbeiter mit Workloadzugriff standortunabhängig arbeiten.As you migrate your workloads and run them in Azure, staff with workload access move around. Ihr Sicherheitsteam sollte den Zugriff auf Ihre Azure-Mandanten und -Ressourcengruppen in regelmäßigen Abständen überprüfen.Your security team should review access to your Azure tenant and resource groups on a regular basis. Azure bietet Lösungen für die Identitätsverwaltung und die Sicherheit der Zugriffssteuerung, z. B. die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC), um Berechtigungen für den Zugriff auf Azure-Ressourcen zu autorisieren.Azure has offerings for identity management and access control security, including Azure role-based access control (Azure RBAC) to authorize permissions to access Azure resources.

  • Azure RBAC weist Zugriffsberechtigungen für Sicherheitsprinzipale zu.Azure RBAC assigns access permissions for security principals. Sicherheitsprinzipale repräsentieren Benutzer, Gruppen (aus Benutzern), Dienstprinzipale (von Anwendungen und Diensten verwendete Identitäten) und verwaltete Identitäten (automatisch von Azure verwaltete Azure Active Directory-Identitäten).Security principals represent users, groups (a set of users), service principals (identity used by applications and services), and managed identities (an Azure Active Directory identity automatically managed by Azure).
  • Azure RBAC kann Sicherheitsprinzipalen Rollen (wie Besitzer, Mitwirkender und Leser) zuweisen. Das Feature kann außerdem Rollendefinitionen (eine Sammlung von Berechtigungen) zuweisen, um die Vorgänge zu definieren, die von den Rollen ausgeführt werden können.Azure RBAC can assign roles to security principals (such as Owner, Contributor, and Reader) and role definitions (a collection of permissions) that define the operations that the roles can perform.
  • Azure RBAC kann auch Bereiche festlegen, die die Grenze für eine Rolle definieren.Azure RBAC can also set scopes that set the boundary for a role. Der Bereich kann auf verschiedenen Ebenen festgelegt werden, z. B. für Verwaltungsgruppen, Abonnements, Ressourcengruppen oder Ressourcen.The scope can be set at several levels, including a management group, subscription, resource group, or resource.
  • Stellen Sie sicher, dass Administratoren mit Azure-Zugriff nur auf diejenigen Ressourcen zugreifen können, die Sie zulassen möchten.Ensure that admins with Azure access can access only resources that you want to allow. Wenn die vordefinierten Rollen in Azure nicht differenziert genug sind, können Sie benutzerdefinierte Rollen erstellen, um Zugriffsberechtigungen zu trennen und zu begrenzen.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Stellen Sie sicher, dass Administratoren mit Azure-Zugriff nur auf diejenigen Ressourcen zugreifen können, die Sie zulassen möchten.Ensure that admins with Azure access can access only resources that you want to allow. Wenn die vordefinierten Rollen in Azure nicht differenziert genug sind, können Sie benutzerdefinierte Rollen erstellen, um Zugriffsberechtigungen zu trennen und zu begrenzen.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Screenshot: ZugriffssteuerungScreenshot of Access control. Abbildung 3: ZugriffssteuerungFigure 3: Access control.

Weitere Informationen:Learn more:

Bewährte Methode: Überprüfen von Überwachungs- und SicherheitsprotokollenBest practice: Review audit and security logs

Azure AD stellt Aktivitätsprotokolle bereit, die in Azure Monitor angezeigt werden.Azure AD provides activity logs that appear in Azure Monitor. Die Protokolle erfassen die Vorgänge, die in Azure-Mandanten ausgeführt werden, und sie erfassen auch, wann und von wem sie ausgeführt werden.The logs capture the operations performed in Azure tenancy, when they occurred, and who performed them.

  • Überwachungsprotokolle zeigen den Verlauf von Aufgaben im Mandanten an.Audit logs show the history of tasks in the tenant. Protokolle für Anmeldeaktivitäten zeigen, wer die Aufgaben ausgeführt hat.Sign-in activity logs show who carried out the tasks.

  • Der Zugriff auf Sicherheitsberichte richtet sich nach Ihrer Azure AD-Lizenz.Access to security reports depends on your Azure AD license. Mit den Free- und Basic-Lizenzen erhalten Sie eine Liste mit Risikobenutzern und -anmeldungen. Mit den Premium-Lizenzen erhalten Sie Informationen zu den zugrunde liegenden Ereignissen.With the free and basic licenses, you get a list of risky users and sign-ins. With the premium licenses, you get underlying event information.

  • Sie können Aktivitätsprotokolle zur Langzeitaufbewahrung und für Datenerkenntnisse an mehrere Endpunkte weiterleiten.You can route activity logs to various endpoints for long-term retention and data insights.

  • Gewöhnen Sie sich an, die Protokolle zu überprüfen, oder integrieren Sie Ihre SIEM-Tools (Security Information & Event Management), um Anomalien automatisch zu überprüfen.Make it a common practice to review the logs, or integrate your security information and event management (SIEM) tools to automatically review abnormalities. Ohne Premium-Lizenz müssen Sie viele Analyseaktivitäten selbst oder mithilfe Ihres SIEM-Systems ausführen.If you're not using a premium license, you'll need to do a lot of analysis yourself, or by using your SIEM system. Zu diesen Aktivitäten gehört die Suche nach risikobehafteten Anmeldungen und Ereignissen sowie weiteren Benutzerangriffsmustern.Analysis includes looking for risky sign-ins and events, and other user attack patterns.

    Screenshot: Azure AD-Benutzer und -gruppen Abbildung 4: Azure AD-Benutzer und -GruppenScreenshot of Azure AD Users and groups. Figure 4: Azure AD users and groups.

Weitere Informationen:Learn more:

Bewährte Methode: Bewerten anderer SicherheitsfeaturesBest practice: Evaluate other security features

Azure bietet weitere Sicherheitsfunktionen, die erweiterte Sicherheitsoptionen bereitstellen.Azure provides other security features that provide advanced security options. Beachten Sie, dass für einige der folgenden bewährten Methoden Add-On-Lizenzen und Premium-Optionen erforderlich sind.Note that some of the following best practices require add-on licenses and premium options.

  • Implementieren von Azure AD-Verwaltungseinheiten:Implement Azure AD administrative units (AU). Das Delegieren von Verwaltungsaufgaben zur Unterstützung der Mitarbeiter nur mit grundlegender Azure-Zugriffssteuerung kann schwierig sein.Delegating administrative duties to support staff can be tricky with just basic Azure access control. Supportmitarbeitern Zugriff auf die Verwaltung all dieser Gruppen in Azure AD zu gewähren ist hinsichtlich der Sicherheit der Organisation möglicherweise nicht der ideale Ansatz.Giving support staff access to administer all the groups in Azure AD might not be the ideal approach for organizational security. Mit Verwaltungseinheiten (Administrative Units, AUs) können Sie Azure-Ressourcen in Container unterteilen, ähnlich wie bei lokalen Organisationseinheiten (Organizational Units, OUs).Using AU allows you to segregate Azure resources into containers in a similar way to on-premises organizational units (OUs). Um Verwaltungseinheiten verwenden zu können, muss der AU-Administrator über eine Azure AD-Premium-Lizenz verfügen.To use AUs, the AU admin must have a premium Azure AD license. Weitere Informationen finden Sie unter Verwalten von Verwaltungseinheiten in Azure AD.For more information, see Administrative units management in Azure AD.
  • Verwenden der mehrstufigen Authentifizierung:Use multi-factor authentication. Wenn Sie über eine Azure AD-Premium-Lizenz verfügen, können Sie die mehrstufige Authentifizierung in Ihren Administratorkonten aktivieren und erzwingen.If you have a premium Azure AD license, you can enable and enforce multi-factor authentication on your admin accounts. Anmeldeinformationen für Konten sind am meisten durch Phishing gefährdet.Phishing is the most common way that accounts credentials are compromised. Böswillige Benutzer mit Anmeldeinformationen für ein Administratorkonto können folgenschwere Aktionen ausführen und beispielsweise alle Ihre Ressourcengruppen löschen.When a bad actor has admin account credentials, there's no stopping them from far-reaching actions, such as deleting all of your resource groups. Sie können die mehrstufige Authentifizierung auf verschiedenen Wegen umsetzen, z. B. per E-Mail, mit einer Authentifikator-App und über Textnachrichten.You can establish multi-factor authentication in several ways, including with email, an authenticator app, and phone text messages. Als Administrator können Sie die Option auswählen, die sich am einfachsten umsetzen lässt.As an administrator, you can select the least intrusive option. Die mehrstufige Authentifizierung lässt sich in Richtlinien für die Bedrohungsanalyse und den bedingten Zugriff integrieren, um per Zufallsprinzip eine Antwort auf eine Anforderung für die mehrstufige Authentifizierung anzufordern.Multi-factor authentication integrates with threat analytics and conditional access policies to randomly require a multi-factor authentication challenge response. Erfahren Sie mehr über Sicherheitsempfehlungen und das Einrichten der mehrstufigen Authentifizierung.Learn more about security guidance, and how to set up multi-factor authentication.
  • Implementieren des bedingten Zugriffs:Implement conditional access. In den meisten kleinen und mittelgroßen Organisationen befinden sich Azure-Administratoren und das Supportteam möglicherweise innerhalb derselben geografischen Region.In most small and medium-sized organizations, Azure admins and the support team are probably located in a single geography. In diesem Fall stammen die meisten Anmeldungen aus den gleichen Gebieten.In this case, most sign-ins come from the same areas. Wenn die IP-Adressen dieser Standorte einigermaßen statisch sind, sollten keine Administratoranmeldungen aus Bereichen außerhalb dieser Gebiete zu beobachten sein.If the IP addresses of these locations are fairly static, it makes sense that you shouldn't see administrator sign-ins from outside these areas. Für den Fall, dass ein böswilliger Remotebenutzer an die Anmeldeinformationen eines Administrators gelangt, können Sie Sicherheitsfeatures wie etwa den bedingten Zugriff implementieren und mit der mehrstufigen Authentifizierung kombinieren, um Anmeldungen von Remotestandorten zu verhindern.Even if a remote bad actor compromises an administrator's credentials, you can implement security features like conditional access, combined with multi-factor authentication, to prevent signing in from remote locations. Dadurch lässt sich ggf. auch die Verwendung gefälschter Standorte über zufällige IP-Adressen unterbinden.This can also prevent spoofed locations from random IP addresses. Erfahren Sie mehr über den bedingten Zugriff, und lesen Sie die bewährten Methoden für den bedingten Zugriff in Azure AD.Learn more about conditional access and review best practices for conditional access in Azure AD.
  • Überprüfen von Berechtigungen von Enterprise-Anwendungen.Review enterprise application permissions. Im Laufe der Zeit wählen Administratoren Links von Microsoft und anderen Anbietern aus, ohne sich über die Auswirkungen auf ihre Organisation im Klaren zu sein.Over time, admins select Microsoft and third-party links without knowing their affect on the organization. Von Links können Einwilligungsbildschirme angezeigt werden, die Azure-Apps Berechtigungen zuweisen.Links can present consent screens that assign permissions to Azure apps. Über solche Links kann auch Lesezugriff auf Azure AD-Daten oder sogar Vollzugriff zur Verwaltung Ihres gesamten Azure-Abonnements gewährt werden.This might allow access to read Azure AD data, or even full access to manage your entire Azure subscription. Sie sollten die Anwendungen regelmäßig überprüfen, für die Ihre Administratoren und Benutzer Zugriff auf Azure-Ressourcen gewährt haben.You should regularly review the applications to which your admins and users have allowed access to Azure resources. Stellen Sie sicher, dass diese Anwendungen nur über die Berechtigungen verfügen, die erforderlich sind.Ensure that these applications have only the permissions that are necessary. Darüber hinaus können Sie Benutzern viertel- oder halbjährlich eine E-Mail mit einem Link zu Anwendungsseiten senden, um den Benutzern die Anwendungen ins Bewusstsein zu rufen, denen sie Zugriff auf ihre Organisationsdaten gewährt haben.Additionally, quarterly or semi-annually you can email users with a link to application pages, so that they're aware of the applications to which they've allowed access to their organizational data. Weitere Informationen finden Sie unter Unerwartete Anwendung in der Liste meiner Anwendungen sowie unter Entfernen einer Benutzer- oder Gruppenzuweisung aus einer Unternehmens-App in Azure Active Directory.For more information, see Unexpected application in my applications list, and how to control application assignments in Azure AD.

Verwalten von migrierten WorkloadsManaged migrated workloads

In diesem Abschnitt finden Sie einige Empfehlungen für bewährte Methoden im Zusammenhang mit der Azure-Verwaltung:In the following sections, we'll recommend some best practices for Azure management, including:

  • Best Practices für Azure-Ressourcengruppen und -Ressourcen, einschließlich intelligenter Benennung, Verhindern von versehentlichem Löschen, Verwalten von Ressourcenberechtigungen und effektivem Markieren von Ressourcen.Best practices for Azure resource groups and resources, including smart naming, preventing accidental deletion, managing resource permissions, and effective resource tagging.
  • Erhalten Sie einen schnellen Überblick über die Verwendung von Blaupausen zum Erstellen und Verwalten Ihrer Bereitstellungsumgebungen.Get a quick overview on using blueprints for building and managing your deployment environments.
  • Sehen Sie sich Azure-Beispielarchitekturen an, während Sie Ihre Bereitstellungen nach der Migration erstellen.Review sample Azure architectures to learn from as you build your post-migration deployments.
  • Wenn Sie über mehrere Abonnements verfügen, können Sie diese in Verwaltungsgruppen zusammenfassen und Governanceeinstellungen auf diese Gruppen anwenden.If you have multiple subscriptions, you can gather them into management groups, and apply governance settings to those groups.
  • Wenden Sie Konformitätsrichtlinien auf Ihre Azure-Ressourcen an.Apply compliance policies to your Azure resources.
  • Erstellen Sie eine Strategie für Business Continuity & Disaster Recovery (BCDR), um bei Ausfällen Ihre Daten zu sichern, Ihre Umgebung stabil zu halten und für die fortlaufende Ausführung Ihrer Ressourcen zu sorgen.Put together a business continuity and disaster recovery (BCDR) strategy to keep data safe, your environment resilient, and resources up and running when outages occur.
  • Stellen Sie virtuelle Computer in Verfügbarkeitsgruppen zusammen, um für Stabilität und Hochverfügbarkeit zu sorgen.Group VMs into availability groups for resilience and high availability. Verwenden Sie verwaltete Datenträger, um die Verwaltung von VM-Datenträgern und Speicher zu vereinfachen.Use managed disks for ease of VM disk and storage management.
  • Ermöglichen Sie die Diagnoseprotokollierung für Azure-Ressourcen, erstellen Sie Warnungen und Playbooks für die proaktive Problembehandlung, und verwenden Sie das Azure-Dashboard, um eine einheitliche Ansicht der Integrität und des Status Ihrer Bereitstellung zu erhalten.Enable diagnostic logging for Azure resources, build alerts and playbooks for proactive troubleshooting, and use the Azure dashboard for a unified view of your deployment health and status.
  • Erfahren Sie mehr über Ihren Azure-Supportplan und wie Sie ihn implementieren, profitieren Sie von Best Practices zur Aktualisierung Ihrer virtuellen Computer, und richten Sie Prozesse für das Change Management ein.Understand your Azure Support plan and how to implement it, get best practices for keeping VMs up-to-date, and put processes in place for change management.

Bewährte Methode: Benennen von RessourcengruppenBest practice: Name resource groups

Verwenden Sie aussagekräftige Namen für Ihre Ressourcengruppen, die Administratoren und Mitglieder des Supportteams einfach erkennen und erfassen können.Ensure that your resource groups have meaningful names that admins and support team members can easily recognize and scan. Dies trägt erheblich zur Verbesserung der Produktivität und Effizienz bei.This can drastically improve productivity and efficiency.

Wenn Sie Ihre lokale Active Directory-Instanz über Azure AD Connect mit Azure AD synchronisieren, empfiehlt es sich gegebenenfalls, die Namen der lokalen Sicherheitsgruppen an die Namen der Ressourcengruppen in Azure anzupassen.If you're synchronizing your on-premises Active Directory to Azure AD by using Azure AD Connect, consider matching the names of security groups on-premises to the names of resource groups in Azure.

Screenshot: RessourcengruppennamenScreenshot of resource group naming. Abbildung 5: RessourcengruppennamenFigure 5: Resource group naming.

Weitere Informationen:Learn more:

Bewährte Methode: Implementieren von Sperren für RessourcengruppenBest practice: Implement delete locks for resource groups

Niemand möchte, dass eine Ressourcengruppe verschwindet, weil sie versehentlich gelöscht wurde.The last thing you need is for a resource group to disappear because it was deleted accidentally. Wir empfehlen die Implementierung von Löschsperren, um dies zu verhindern.We recommend that you implement delete locks, so that this doesn't happen.

Screenshot: LöschsperrenScreenshot of delete locks. Abbildung 6: LöschsperrenFigure 6: Delete locks.

Weitere Informationen:Learn more:

Bewährte Methode: Verstehen der Berechtigungen für den RessourcenzugriffBest practice: Understand resource access permissions

Ein Abonnementbesitzer hat Zugriff auf alle Ressourcengruppen und Ressourcen in Ihrem Abonnement.A subscription owner has access to all the resource groups and resources in your subscription.

  • Fügen Sie dieser wertvollen Zuweisung nur wenige Benutzer hinzu.Add people sparingly to this valuable assignment. Sie müssen die Auswirkungen dieser Art von Berechtigungen genau kennen, um für die Sicherheit und Stabilität Ihrer Umgebung zu sorgen.Understanding the ramifications of these types of permissions is important in keeping your environment secure and stable.
  • Stellen Sie sicher, dass Sie Ressourcen in geeigneten Ressourcengruppen platzieren:Make sure you place resources in appropriate resource groups:
    • Fassen Sie Ressourcen mit ähnlichem Lebenszyklus zusammen.Match resources with a similar lifecycle together. Im Idealfall sollte es nicht notwendig sein, eine Ressource zu verschieben, wenn Sie eine vollständige Ressourcengruppe löschen müssen.Ideally, you shouldn't need to move a resource when you need to delete an entire resource group.
    • Ressourcen, die eine Funktion oder Workload unterstützen, sollten zur Vereinfachung der Verwaltung gruppiert werden.Resources that support a function or workload should be placed together for simplified management.

Weitere Informationen:Learn more:

Bewährte Methode: Effektives Markieren von RessourcenBest practice: Tag resources effectively

Häufig bietet die alleinige Verwendung eines Ressourcengruppennamens für Ressourcen nicht genügend Metadaten für die effektive Implementierung von Mechanismen wie die interne Abrechnung oder die Verwaltung innerhalb eines Abonnements.Often, using only a resource group name related to resources won't provide enough metadata for effective implementation of mechanisms, such as internal billing or management within a subscription.

  • Es empfiehlt sich daher, mithilfe von Azure-Tags hilfreiche Metadaten hinzuzufügen, die abgefragt und gemeldet werden können.As a best practice, use Azure tags to add useful metadata that can be queried and reported on.

  • Tags sind eine Möglichkeit, Ressourcen mit von Ihnen definierten Eigenschaften logisch zu organisieren.Tags provide a way to logically organize resources with properties that you define. Tags können auf Ressourcengruppen oder direkt auf Ressourcen angewendet werden.Tags can be applied to resource groups or resources directly.

  • Tags können auf eine Ressourcengruppe oder auf einzelne Ressourcen angewendet werden.Tags can be applied on a resource group or on individual resources. Ressourcengruppentags werden nicht an die Ressourcen in der Gruppe vererbt.Resource group tags aren't inherited by the resources in the group.

  • Sie können die Markierung mithilfe von PowerShell oder Azure Automation automatisieren oder einzelne Gruppen oder Ressourcen markieren.You can automate tagging by using PowerShell or Azure Automation, or tag individual groups and resources.

  • Wenn Sie ein System für Anforderungsmanagement und Change Management eingerichtet haben, können Sie ganz einfach die Informationen in der Anforderung verwenden, um Ihre unternehmensspezifischen Ressourcentags aufzufüllen.If you have a request and change management system in place, then you can easily use the information in the request to populate your company-specific resource tags.

    Screenshot: Markieren Abbildung 7: MarkierenScreenshot of tagging. Figure 7: Tagging.

Weitere Informationen:Learn more:

Bewährte Methode: Implementieren von BlaupausenBest practice: Implement blueprints

Genau wie eine Blaupause, mit der Ingenieure oder Architekten die Entwurfsparameter für ein Projekt skizzieren, ermöglicht es der Azure Blueprints-Dienst Cloudarchitekten und zentralen IT-Gruppen, eine wiederholbare Gruppe von Azure-Ressourcen zu definieren.Just as a blueprint allows engineers and architects to sketch a project's design parameters, the Azure Blueprints service enables cloud architects and central IT groups to define a repeatable set of Azure resources. Dies vereinfacht die Implementierung und Einhaltung der Standards, Muster und Anforderungen einer Organisation.This helps them to implement and adhere to an organization's standards, patterns, and requirements. Mit Azure Blueprints können Entwicklungsteams schnell neue Umgebungen entwickeln und erstellen, die die Konformitätsanforderungen der Organisation erfüllen.Using Azure Blueprints, development teams can rapidly build and create new environments that meet organizational compliance requirements. Diese neuen Umgebungen verfügen über eine Reihe integrierter Komponenten (z. B. Netzwerk), um die Entwicklung und Bereitstellung zu beschleunigen.These new environments have a set of built-in components, such as networking, to speed up development and delivery.

  • Verwenden Sie Blaupausen, um die Bereitstellung von Ressourcengruppen, Azure Resource Manager-Vorlagen sowie Richtlinien- und Rollenzuweisungen zu orchestrieren.Use blueprints to orchestrate the deployment of resource groups, Azure Resource Manager templates, and policy and role assignments.
  • Speichern Sie Blaupausen in einem global verteilten Dienst: Azure Cosmos DB.Store blueprints in a globally distributed service, Azure Cosmos DB. Blaupausenobjekte werden in mehreren Azure-Regionen repliziert.Blueprint objects are replicated to multiple Azure regions. Die Replikation sorgt für kurze Wartezeiten, Hochverfügbarkeit und konsistenten Zugriff auf Blaupausen – unabhängig von der Region, in der Ressourcen durch eine Blaupause bereitgestellt werden.Replication provides low latency, high availability, and consistent access to a blueprint, regardless of the region to which a blueprint deploys resources.

Weitere Informationen:Learn more:

Bewährte Methode: Überprüfen von ReferenzarchitekturenBest practice: Review Azure reference architectures

Das Erstellen sicherer, skalierbarer und verwaltbarer Workloads in Azure kann eine große Herausforderung sein.Building secure, scalable, and manageable workloads in Azure can be daunting. Angesichts fortlaufender Änderungen kann es schwierig sein, bei verschiedenen Features auf dem Laufenden zu bleiben, um eine optimale Umgebung sicherzustellen.With continual changes, it can be difficult to keep up with different features for an optimal environment. Beim Entwerfen und Migrieren Ihrer Workloads kann es nützlich sein, über eine Referenz zu verfügen, aus der Sie nützliche Informationen erhalten können.Having a reference to learn from can be helpful when designing and migrating your workloads. Azure und die Azure-Partner haben verschiedene Referenzarchitekturen als Muster für verschiedene Arten von Umgebungen erstellt.Azure and Azure partners have built several sample reference architectures for various types of environments. Diese Muster bieten Anregungen, aus denen Sie lernen und auf denen Sie aufbauen können.These samples are designed to provide ideas that you can learn from and build on.

Die Referenzarchitekturen sind nach Szenario sortiert.Reference architectures are arranged by scenario. Sie enthalten Best Practices und Ratschläge zu Verwaltung, Verfügbarkeit, Skalierbarkeit und Sicherheit.They contain best practices and advice on management, availability, scalability, and security. Die App Service-Umgebung stellt eine vollständig isolierte und dedizierte Umgebung bereit, in der Anwendungen wie Windows- und Linux-Web-Apps, Docker-Container, mobile Apps und Funktionen ausgeführt werden können.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and functions. App Service ergänzt Ihre Anwendung um leistungsfähige Azure-Features, z.B. Sicherheit, Lastenausgleich, automatische Skalierung und automatisierte Verwaltung.App Service adds the power of Azure to your application, with security, load balancing, autoscaling, and automated management. Sie können auch die Vorteile der DevOps-Funktionen des Diensts nutzen, z.B. Continuous Deployment über Azure DevOps und GitHub, Paketverwaltung, Stagingumgebungen, benutzerdefinierte Domäne und SSL-Zertifikate.You can also take advantage of its DevOps capabilities, such as continuous deployment from Azure DevOps and GitHub, package management, staging environments, custom domain, and SSL certificates. App Service ist hilfreich bei Anwendungen, die Isolierung und sicheren Netzwerkzugriff erfordern, sowie für solche Anwendungen, die eine große Menge an Arbeitsspeicher sowie weitere skalierbare Ressourcen nutzen.App Service is useful for applications that need isolation and secure network access, and those that use high amounts of memory and other resources that need to scale.

Weitere Informationen:Learn more:

Bewährte Methode: Verwalten von Ressourcen mit Azure-VerwaltungsgruppenBest practice: Manage resources with Azure management groups

Wenn Ihre Organisation über mehrere Abonnements verfügt, müssen Sie Zugriff, Richtlinien und Konformität für diese Abonnements verwalten.If your organization has multiple subscriptions, you need to manage access, policies, and compliance for them. Azure-Verwaltungsgruppen stellen einen abonnementübergreifenden Bereich dar.Azure management groups provide a level of scope above subscriptions. Hier einige Tipps:Here are some tips:

  • Sie organisieren Abonnements in Containern, die als Verwaltungsgruppen bezeichnet werden, und wenden Governancebedingungen darauf an.You organize subscriptions into containers called management groups, and apply governance conditions to them.
  • Alle Abonnements in einer Verwaltungsgruppe erben automatisch die Bedingungen der Verwaltungsgruppe.All subscriptions in a management group automatically inherit the management group conditions.
  • Verwaltungsgruppen ermöglichen unabhängig von der Art Ihrer Abonnements die Verwaltung auf Unternehmensniveau in großem Umfang.Management groups provide large-scale, enterprise-grade management, no matter what type of subscriptions you have.
  • Sie können z.B. die Richtlinie einer Verwaltungsgruppe anwenden, die die Regionen einschränkt, in denen VMs erstellt werden können.For example, you can apply a management group policy that limits the regions in which VMs can be created. Diese Richtlinie wird auf alle Verwaltungsgruppen, Abonnements und Ressourcen in dieser Verwaltungsgruppe angewandt.This policy is then applied to all management groups, subscriptions, and resources under that management group.
  • Sie können eine flexible Struktur aus Verwaltungsgruppen und Abonnements aufbauen, um Ihre Ressourcen für eine einheitliche Richtlinien- und Zugriffsverwaltung in einer Hierarchie zu organisieren.You can build a flexible structure of management groups and subscriptions, to organize your resources into a hierarchy for unified policy and access management.

Das folgende Diagramm zeigt anhand eines Beispiels das Erstellen einer Hierarchie für die Governance unter Verwendung von Verwaltungsgruppen:The following diagram shows an example of creating a hierarchy for governance by using management groups.

Diagramm: VerwaltungsgruppenDiagram of management groups. Abbildung 8: VerwaltungsgruppenFigure 8: Management groups.

Weitere Informationen:Learn more:

Bewährte Methode: Bereitstellen von Azure PolicyBest practice: Deploy Azure Policy

Azure Policy ist ein Dienst, mit dem Sie Richtlinien erstellen, zuweisen und verwalten können.Azure Policy is a service that you use to create, assign, and manage policies. Richtlinien erzwingen verschiedene Regeln und Effekte für Ihre Ressourcen, damit diese stets mit Ihren Unternehmensstandards und Vereinbarungen zum Servicelevel konform bleiben.Policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements.

Azure Policy bewertet Ihre Ressourcen und sucht nach Ressourcen, die nicht mit Ihren Richtlinien konform sind.Azure Policy evaluates your resources, scanning for those not compliant with your policies. Sie können beispielsweise eine Richtlinie erstellen, die nur eine bestimmte SKU-Größe für virtuelle Computer in Ihrer Umgebung zulässt.For example, you can create a policy that allows only a specific SKU size for VMs in your environment. Azure Policy wertet diese Einstellung beim Erstellen und Aktualisieren von Ressourcen sowie beim Überprüfen vorhandener Ressourcen aus.Azure Policy will evaluate this setting when you create and update resources, and when scanning existing resources. Hinweis: Azure stellt einige integrierte Richtlinien bereit, die Sie zuweisen können. Sie können aber auch eigene Richtlinien erstellen.Note that Azure provides some built-in policies that you can assign, or you can create your own.

Screenshot: Azure PolicyScreenshot of Azure Policy. Abbildung 9: Azure PolicyFigure 9: Azure Policy.

Weitere Informationen:Learn more:

Bewährte Methode: Implementieren einer BCDR-StrategieBest practice: Implement a BCDR strategy

Die Planung von BCDR ist eine wichtige Aufgabe, die im Rahmen der Azure-Migrationsplanung durchgeführt werden sollte.Planning for BCDR is a critical exercise that you should complete as part of your Azure migration planning process. Rechtlich gesehen enthalten Ihre Verträge möglicherweise eine Klausel zu höherer Gewalt, die Sie bei unabwendbaren Ereignissen wie Wirbelstürmen oder Erdbeben von Verpflichtungen entbindet.In legal terms, your contracts might include a force majeure clause that excuses obligations due to a greater force, such as hurricanes or earthquakes. Aber Sie müssen sicherstellen, dass wichtige Dienste weiterlaufen und wiederhergestellt werden können, wenn ein Notfall eintritt.But you must ensure that essential services continue to run and recover when disaster strikes. Die Fähigkeit, diese Verpflichtungen zu erfüllen, kann über die Zukunft Ihres Unternehmens entscheiden.Your ability to do this can make or break your company's future.

Allgemein gesagt muss Ihre BCDR-Strategie Folgendes berücksichtigen:Broadly, your BCDR strategy must consider:

  • Datensicherung: Schützen Sie Ihre Daten, sodass Sie diese nach einem Ausfall einfach wiederherstellen können.Data backup: How to keep your data safe so that you can recover it easily if outages occur.
  • Notfallwiederherstellung: Sorgen Sie für Stabilität und Verfügbarkeit Ihrer Anwendungen nach einem Ausfall.Disaster recovery: How to keep your applications resilient and available if outages occur.

Einrichten von BCDRSet up BCDR

Beachten Sie bei der Migration zu Azure Folgendes: Die Azure-Plattform bietet zwar einige integrierte Resilienzfeatures, Ihre Azure-Bereitstellung muss jedoch auch entsprechend gestaltet sein, um von diesen Features profitieren zu können.When migrating to Azure, understand that although the Azure platform provides some built-in resiliency capabilities, you need to design your Azure deployment to take advantage of them.

  • Ihre BCDR-Lösung richtet sich nach den Zielen Ihres Unternehmens und wird durch Ihre Azure-Bereitstellungsstrategie beeinflusst.Your BCDR solution will depend on your company objectives, and is influenced by your Azure deployment strategy. IaaS-Bereitstellungen (Infrastructure-as-a-Service) und PaaS-Bereitstellungen (Platform as a Service) stellen unterschiedliche Herausforderungen an Ihre Business Continuity & Disaster Recovery-Lösung.Infrastructure as a service (IaaS) and platform as a service (PaaS) deployments present different challenges for BCDR.
  • Die implementierte BCDR-Lösung sollte regelmäßig überprüft werden, um sicherzustellen, dass Ihre Strategie weiterhin sinnvoll ist.After they are in place, your BCDR solutions should be tested regularly to check that your strategy remains viable.

Sichern einer IaaS-BereitstellungBack up an IaaS deployment

In den meisten Fällen wird eine lokale Workload nach der Migration außer Betrieb genommen, und Ihre lokale Strategie für die Sicherung von Daten muss erweitert oder ersetzt werden.In most cases, an on-premises workload is retired after migration, and your on-premises strategy for backing up data must be extended or replaced. Wenn Sie Ihr gesamtes Rechenzentrum zu Azure migrieren, müssen Sie mithilfe von Azure-Technologien oder integrierten Drittanbieterlösungen eine vollständige Sicherungslösung entwerfen und implementieren.If you migrate your entire datacenter to Azure, you'll need to design and implement a full backup solution by using Azure technologies, or third-party integrated solutions.

Ziehen Sie für Workloads, die auf Azure-IaaS-VMs ausgeführt werden, folgende Sicherungslösungen in Betracht:For workloads running on Azure IaaS VMs, consider these backup solutions:

  • Azure Backup: Azure Backup bietet anwendungskonsistente Sicherungen für Azure-Windows- und -Linux-VMs.Azure Backup: Provides application-consistent backups for Azure Windows and Linux VMs.
  • Speichermomentaufnahmen: Dieses Feature erstellt Momentaufnahmen von Blob Storage.Storage snapshots: Takes snapshots of Blob Storage.

Azure BackupAzure Backup

Azure Backup erstellt Datenwiederherstellungspunkte, die in Azure Storage gespeichert werden.Azure Backup creates data recovery points that are stored in Azure Storage. Azure Backup kann Azure-VM-Datenträger und Azure File Storage (Vorschau) sichern.Azure Backup can back up Azure VM disks, and Azure Files (preview). Azure Files stellt Dateifreigaben in der Cloud bereit, die über den Server Message Block (SMB) zugänglich sind.Azure Files provide file shares in the cloud, accessible via Server Message Block (SMB).

Virtuelle Computer können mithilfe von Azure Backup wie folgt gesichert werden:You can use Azure Backup to back up VMs in the following ways:

  • Direkte Sicherung aus VM-Einstellungen:Direct backup from VM settings. Sie können VMs mit Azure Backup direkt über die VM-Optionen im Azure-Portal sichern.You can back up VMs with Azure Backup directly from the VM options in the Azure portal. Sie können eine VM einmal täglich sichern und den VM-Datenträger bei Bedarf wiederherstellen.You can back up the VM once per day, and you can restore the VM disk as needed. Azure Backup erstellt anwendungsabhängige Datenmomentaufnahmen, und es wird kein Agent auf der VM installiert.Azure Backup takes application-aware data snapshots, and no agent is installed on the VM.
  • Direkte Sicherung in einem Recovery Services-Tresor:Direct backup in a Recovery Services vault. Sie können Ihre IaaS-VMs durch Bereitstellen eines Azure Backup-Recovery Services-Tresors sichern.You can back up your IaaS VMs by deploying an Azure Backup Recovery Services vault. Dies bietet einen einzelnen Speicherort zum Nachverfolgen und Verwalten von Sicherungen und ermöglicht differenzierte Sicherungs- und Wiederherstellungsoptionen.This provides a single location to track and manage backups, as well as granular backup and restore options. Die Sicherung erfolgt bis zu dreimal am Tag auf Datei- und Ordnerebene.Backup is up to three times a day, at the file and folder levels. Sie ist nicht anwendungsabhängig, und Linux wird nicht unterstützt.It isn't application-aware, and Linux isn't supported. Installieren Sie den MARS-Agent (Microsoft Azure Recovery Services) auf jeder VM, die Sie mit dieser Methode sichern möchten.Install the Microsoft Azure recovery services (MARS) agent on each VM that you want to back up by using this method.
  • Schützen von VMs mit Azure Backup Server.Protect the VM to Azure Backup server. Azure Backup Server ist kostenlos in Azure Backup enthalten.Azure Backup server is provided free with Azure Backup. VMs werden im lokalen Azure Backup Server-Speicher gesichert.The VM is backed up to local Azure Backup server storage. Danach wird Azure Backup Server in einem Tresor in Azure gesichert.You then back up the Azure Backup server to Azure in a vault. Azure Backup ist anwendungsabhängig und bietet vollständige Granularität für die Häufigkeit und Aufbewahrung von Sicherungen.Backup is application-aware, with full granularity over backup frequency and retention. Sie können Sicherungen auf Anwendungsebene z. B. für SQL Server oder SharePoint ausführen.You can back up at the application level, for example by backing up SQL Server or SharePoint.

Zur Gewährleistung der Sicherheit werden Daten von Azure Backup bei der Übertragung mit AES-256 verschlüsselt.For security, Azure Backup encrypts data in-flight by using AES-256. Die Daten werden per HTTPS an Azure gesendet.It sends it over HTTPS to Azure. Gesicherte ruhende Daten in Azure werden mit Azure Storage-Verschlüsselung verschlüsselt.Backed-up data-at-rest in Azure is encrypted by using Azure Storage encryption.

Screenshot: Azure Backup Abbildung 10: Azure BackupScreenshot of Azure Backup. Figure 10: Azure Backup.

Weitere Informationen:Learn more:

SpeichermomentaufnahmenStorage snapshots

Azure-VMs werden als Seitenblobs in Azure Storage gespeichert.Azure VMs are stored as page blobs in Azure Storage. Momentaufnahmen erfassen den Blobzustand zu einem bestimmten Zeitpunkt.Snapshots capture the blob state at a specific point in time. Als alternative Sicherungsmethode für Azure-VM-Datenträger können Sie eine Momentaufnahme von Speicherblobs erfassen und in ein anderes Speicherkonto kopieren.As an alternative backup method for Azure VM disks, you can take a snapshot of storage blobs and copy them to another storage account.

Sie können ein vollständiges Blob kopieren oder eine inkrementelle Momentaufnahmekopie verwenden, um nur Deltaänderungen zu kopieren und den Speicherplatz zu reduzieren.You can copy an entire blob, or use an incremental snapshot copy to copy only delta changes and reduce storage space. Als zusätzliche Vorsichtsmaßnahme können Sie das vorläufige Löschen für Blob Storage-Konten aktivieren.As an extra precaution, you can enable soft delete for Blob Storage accounts. Ist dieses Feature aktiviert, wird ein Blob nicht sofort gelöscht, sondern zum Löschen markiert.With this feature enabled, a blob that's deleted is marked for deletion, but not immediately purged. Während des Übergangszeitraums kann das Blob wiederhergestellt werden.During the interim period, you can restore the blob.

Weitere Informationen:Learn more:

Sicherungslösungen von DrittanbieternThird-party backup

Zusätzlich können Sie Drittanbieterlösungen verwenden, um Azure-VMs und -Speichercontainer in einem lokalen Speicher oder bei anderen Cloudanbietern zu sichern.In addition, you can use third-party solutions to back up Azure VMs and storage containers to local storage or other cloud providers. Weitere Informationen finden Sie unter den Sicherungslösungen im Azure Marketplace.For more information, see Backup solutions in Azure Marketplace.

Einrichten der Notfallwiederherstellung für IaaS-AnwendungenSet up disaster recovery for IaaS applications

Zusätzlich zum Schutz der Daten muss bei der BCDR-Planung berücksichtigt werden, wie Anwendungen und Workloads bei einem Notfall verfügbar gehalten werden.In addition to protecting data, BCDR planning must consider how to keep applications and workloads available if a disaster occurs. Ziehen Sie für Workloads, die auf virtuellen Azure-IaaS-Computern und in Azure Storage ausgeführt werden, die Lösungen in den folgenden Abschnitten in Betracht.For workloads that run on Azure IaaS VMs and Azure Storage, consider the solutions in the following sections.

Azure Site RecoveryAzure Site Recovery

Azure Site Recovery ist der primäre Azure-Dienst, mit dem sichergestellt werden kann, dass virtuelle Azure-Computer im Falle eines Ausfalls online geschaltet und VM-Anwendungen verfügbar gemacht werden können.Azure Site Recovery is the primary Azure service for ensuring that Azure VMs can be brought online, and VM applications made available, when outages occur.

Von Site Recovery werden virtuelle Computer aus einer primären Azure-Region in einer sekundären Azure-Region repliziert.Site Recovery replicates VMs from a primary to a secondary Azure region. Bei einem Notfall führen Sie ein Failover der virtuellen Computer in der primären Region durch und greifen in der sekundären Region weiterhin normal auf sie zu.If disaster strikes, you fail VMs over from the primary region, and continue accessing them as normal in the secondary region. Wenn der Betrieb wieder normal läuft, können Sie ein Failback der VMs zur primären Region ausführen.When operations return to normal, you can fail back VMs to the primary region.

Diagramm: Azure Site RecoveryDiagram of Azure Site Recovery. Abbildung 11: Site RecoveryFigure 11: Site Recovery.

Weitere Informationen:Learn more:

Bewährte Methode: Verwenden von verwalteten Datenträgern und VerfügbarkeitsgruppenBest practice: Use managed disks and availability sets

Azure verwendet Verfügbarkeitsgruppen, um VMs logisch zusammenzufassen und in einer Gruppe von anderen Ressourcen zu isolieren.Azure uses availability sets to logically group VMs together, and to isolate VMs in a set from other resources. VMs in einer Verfügbarkeitsgruppe werden auf mehrere Fehlerdomänen mit separaten Subsystemen verteilt, die vor lokalen Ausfällen geschützt sind.VMs in an availability set are spread across multiple fault domains with separate subsystems, which protects against local failures. Die VMs sind auch auf mehrere Updatedomänen verteilt und verhindern gleichzeitige Neustarts aller VMs in der Gruppe.The VMs are also spread across multiple update domains, preventing a simultaneous reboot of all VMs in the set.

Verwaltete Azure-Datenträger vereinfachen die Datenträgerverwaltung bei Azure Virtual Machines durch Verwaltung der Speicherkonten, die den VM-Datenträgern zugeordnet sind.Azure managed disks simplify disk management for Azure Virtual Machines by managing the storage accounts associated with the VM disks.

  • Verwenden Sie nach Möglichkeit verwaltete Datenträger.Use managed disks wherever possible. Sie müssen nur den gewünschten Speichertyp und die erforderliche Datenträgergröße angeben, und Azure erstellt und verwaltet den Datenträger im Hintergrund für Sie.You only have to specify the type of storage you want to use and the size of disk you need, and Azure creates and manages the disk for you.

  • Sie können vorhandene Datenträger in verwaltete Datenträger konvertieren.You can convert existing disks to managed disks.

  • Sie sollten VMs in Verfügbarkeitsgruppen erstellen, um eine hohe Resilienz und Verfügbarkeit zu erzielen.You should create VMs in availability sets for high resilience and availability. Bei geplanten oder ungeplanten Ausfällen stellen Verfügbarkeitsgruppen sicher, dass mindestens eine VM in der Gruppe verfügbar bleibt.When planned or unplanned outages occur, availability sets ensure that at least one VM in the set remains available.

    Diagramm: Verwaltete Datenträger Abbildung 12: Verwaltete DatenträgerDiagram of managed disks. Figure 12: Managed disks.

Weitere Informationen:Learn more:

Bewährte Methode: Überwachen der Ressourcennutzung und -leistungBest practice: Monitor resource usage and performance

Sie haben Ihre Workloads möglicherweise aufgrund der enormen Skalierungsfunktionen nach Azure verlagert.You might have moved your workloads to Azure for its immense scaling capabilities. Die Verlagerung allein bedeutet aber nicht, dass Azure ohne Eingaben Ihrerseits automatisch eine Skalierung implementiert.But moving your workload doesn't mean that Azure will automatically implement scaling without your input. Zwei Beispiele:Here are two examples:

  • Wenn Ihre Marketingorganisation einen neuen Werbespot im Fernsehen schaltet, der 300 Prozent mehr Datenverkehr verursacht, könnte dies zu Problemen mit der Verfügbarkeit der Website führen.If your marketing organization pushes a new television advertisement that drives 300 percent more traffic, this might cause site availability issues. Ihre frisch migrierte Workload könnte die zugewiesenen Obergrenzen erreichen und abstürzen.Your newly migrated workload might hit assigned limits, and crash.
  • Im Falle eines verteilten Denial-of-Service-Angriffs (DDoS) auf Ihre migrierte Workload soll keine Skalierung erfolgen.If there's a distributed denial-of-service (DDoS) attack on your migrated workload, in this case you don't want to scale. Stattdessen soll die Quelle der Angriffe daran gehindert werden, Ihre Ressourcen zu erreichen.You want to prevent the source of the attacks from reaching your resources.

Für diese beiden Fälle gibt es unterschiedliche Lösungen, aber Sie müssen in beiden Fällen wissen, was passiert. Dazu dient die Überwachung der Nutzung und Leistung.These two cases have different resolutions, but for both you need insight into what's happening with usage and performance monitoring.

  • Azure Monitor unterstützt Sie dabei, diese Metriken zu ermitteln und mithilfe von Warnungen, automatischer Skalierung, Event Hubs und Logik-Apps auf diese zu reagieren.Azure Monitor can help surface these metrics, and provide response with alerts, autoscaling, Event Hubs, and Logic Apps.

  • Darüber hinaus können Sie Ihre SIEM-Drittanbieteranwendung integrieren, um die Azure-Protokolle auf Überprüfungs- und Leistungsereignisse zu überwachen.You can also integrate your third-party SIEM application to monitor the Azure logs for auditing and performance events.

    Screenshot: Azure Monitor Abbildung 13: Azure MonitorScreenshot of Azure Monitor. Figure 13: Azure Monitor.

Weitere Informationen:Learn more:

Bewährte Methode: Aktivieren der DiagnoseprotokollierungBest practice: Enable diagnostic logging

Azure-Ressourcen generieren recht viele Protokollierungsmetrik- und Telemetriedaten.Azure resources generate a fair number of logging metrics and telemetry data. Standardmäßig ist bei den meisten Ressourcentypen die Diagnoseprotokollierung nicht aktiviert.By default, most resource types don't have diagnostic logging enabled. Indem Sie die Diagnoseprotokollierung für Ihre Ressourcen aktivieren, können Sie Protokollierungsdaten abfragen und basierend darauf Warnungen und Playbooks erstellen.By enabling diagnostic logging across your resources, you can query logging data, and build alerts and playbooks based on it.

Wenn Sie die Diagnoseprotokollierung aktivieren, verfügt jede Ressource über einen bestimmten Satz von Kategorien.When you enable diagnostic logging, each resource will have a specific set of categories. Sie können eine oder mehrere Protokollierungskategorien sowie einen Speicherort für die Protokolldaten auswählen.You select one or more logging categories, and a location for the log data. Protokolle können an Event Hub, Azure Monitor-Protokolle oder ein Speicherkonto gesendet werden.Logs can be sent to a storage account, event hub, or to Azure Monitor Logs.

Screenshot: Diagnoseprotokollierung Abbildung 14: DiagnoseprotokollierungScreenshot of diagnostic logging. Figure 14: Diagnostic logging.

Weitere Informationen:Learn more:

Bewährte Methode: Einrichten von Warnungen und PlaybooksBest practice: Set up alerts and playbooks

Wenn die Diagnoseprotokollierung für Azure-Ressourcen aktiviert ist, können Sie damit beginnen, Protokollierungsdaten zu verwenden, um benutzerdefinierte Warnungen zu erstellen.With diagnostic logging enabled for Azure resources, you can start to use logging data to create custom alerts.

  • Warnungen benachrichtigen Sie proaktiv, wenn bestimmte Bedingungen in Ihren Überwachungsdaten gefunden werden.Alerts proactively notify you when conditions are found in your monitoring data. Dann können Sie die Probleme beheben, bevor Ihre Systembenutzer diese bemerken.You can then address issues before system users notice them. Sie können Warnungen zu Metrikwerten, Protokollsuchabfragen, Aktivitätsprotokollereignissen, Plattformintegrität und Websiteverfügbarkeit einrichten.You can alert on metric values, log search queries, activity log events, platform health, and website availability.

  • Wenn Warnungen ausgelöst werden, können Sie ein Logik-App-Playbook ausführen.When alerts are triggered, you can run a logic app playbook. Mit einem Playbook können Sie eine Antwort auf eine bestimmte Warnung automatisieren und orchestrieren.A playbook helps you to automate and orchestrate a response to a specific alert. Playbooks basieren auf Azure Logic Apps.Playbooks are based on Azure Logic Apps. Sie können Playbooks selbst oder basierend auf Logik-App-Vorlagen erstellen.You can use logic app templates to create playbooks, or create your own.

  • Ein einfaches Beispiel: Sie können eine Warnung erstellen, die ausgelöst wird, wenn für eine NSG ein Portscan ausgeführt wird.As a simple example, you can create an alert that triggers when a port scan happens against an NSG. Sie können ein Playbook einrichten, das ausgeführt wird und die IP-Adresse der Scanquelle sperrt.You can set up a playbook that runs and locks down the IP address of the scan origin.

  • Ein weiteres Beispiel ist eine Anwendung mit einem Arbeitsspeicherverlust.Another example is an application with a memory leak. Wenn die Arbeitsspeichernutzung einen bestimmten Punkt erreicht, kann ein Playbook den Prozess stoppen und neu starten.When the memory usage gets to a certain point, a playbook can recycle the process.

    Screenshot: Warnungen Abbildung 15: WarnungenScreenshot of alerts. Figure 15: Alerts.

Weitere Informationen:Learn more:

Bewährte Methode: Verwenden des Azure-DashboardsBest practice: Use the Azure dashboard

Das Azure-Portal ist eine webbasierte einheitliche Konsole zum Erstellen, Verwalten und Überwachen aller Komponenten – von einfachen Web-Apps bis hin zu komplexen Cloudanwendungen.The Azure portal is a web-based unified console that allows you to build, manage, and monitor everything from simple web apps to complex cloud applications. Es enthält ein anpassbares Dashboard und Optionen für Barrierefreiheit.It includes a customizable dashboard and accessibility options.

  • Sie können mehrere Dashboards erstellen und für andere Benutzer freigeben, die Zugriff auf Ihre Azure-Abonnements haben.You can create multiple dashboards and share them with others who have access to your Azure subscriptions.

  • Mit diesem Freigabemodell erhält Ihr Team Einblick in die Azure-Umgebung, und das hilft ihm beim Verwalten von Systemen in der Cloud bei einem proaktiven Vorgehen.With this shared model, your team has visibility into the Azure environment, which helps them them to be proactive when managing systems in the cloud.

    Screenshot eines Azure-Dashboards.

    Screenshot: Azure-Dashboard Abbildung 16: Azure-DashboardScreenshot of Azure dashboard. Figure 16: Azure dashboard.

Weitere Informationen:Learn more:

Bewährte Methode: Verstehen der SupportpläneBest practice: Understand support plans

Sie müssen zu einem bestimmten Zeitpunkt mit Ihrem Supportteam oder den Microsoft-Supportmitarbeitern zusammenarbeiten.At some point, you will need to collaborate with your support staff or Microsoft support staff. Es ist von entscheidender Bedeutung, eine Reihe von Richtlinien und Verfahren für den Support in Szenarien wie z.B. einer Notfallwiederherstellung einzurichten.Having a set of policies and procedures for support during scenarios such as disaster recovery is vital. Darüber hinaus müssen Ihre Administratoren und Supportmitarbeiter in der Implementierung dieser Richtlinien geschult sein.In addition, your admins and support staff should be trained on implementing those policies.

  • Im unwahrscheinlichen Fall, dass ein Problem mit einem Azure-Dienst sich auf Ihre Workload auswirkt, müssen Ihre Administratoren wissen, wie sie auf möglichst geeignete und effiziente Weise ein Supportticket an Microsoft übermitteln.In the unlikely event that an Azure service issue affects your workload, admins should know how to submit a support ticket to Microsoft in the most appropriate and efficient way.

  • Machen Sie sich mit den verschiedenen Supportplänen vertraut, die für Azure angeboten werden.Familiarize yourself with the various support plans offered for Azure. Diese reichen von Reaktionszeiten für Developer-Instanzen bis hin zu Premier Support mit einer Reaktionszeit von weniger als 15 Minuten.They range from response times dedicated to developer instances, to premier support with a response time of less than 15 minutes.

    Screenshot: Supportpläne Abbildung 17: SupportpläneScreenshot of support plans. Figure 17: Support plans.

Weitere Informationen:Learn more:

Bewährte Methode: Verwalten von UpdatesBest practice: Manage updates

Azure-VMs immer mit den neuesten Betriebssystem- und Softwareupdates auf dem neuesten Stand zu halten, ist eine gewaltige Aufgabe.Keeping Azure VMs updated with the latest operating system and software updates is a massive chore. Die Fähigkeit, alle virtuellen Computer sowie die erforderlichen Updates zu ermitteln und diese Updates automatisch zu pushen, ist äußerst wertvoll.The ability to surface all VMs, figure out which updates they need, and automatically push those updates is extremely valuable.

  • Sie können die Lösung „Updateverwaltung“ in Azure Automation zum Verwalten von Betriebssystemupdates verwenden.You can use Update Management in Azure Automation to manage operating system updates. Das gilt für Windows- und Linux-Computer, die in Azure, lokal oder bei anderen Cloudanbietern bereitgestellt werden.This applies to machines that run Windows and Linux computers that are deployed in Azure, on-premises, and in other cloud providers.

  • Verwenden Sie die Updateverwaltung auch, um schnell den Status der verfügbaren Updates auf allen Agent-Computern auszuwerten und die Installation der Updates zu verwalten.Use Update Management to quickly assess the status of available updates on all agent computers, and manage update installation.

  • Sie können die Updateverwaltung für virtuelle Computer direkt in einem Azure Automation-Konto aktivieren.You can enable Update Management for VMs directly from an Azure Automation account. Sie können auch eine einzelne VM über die VM-Seite im Azure-Portal aktualisieren.You can also update a single VM from the VM page in the Azure portal.

  • Darüber hinaus können virtuelle Azure-Computer bei System Center Configuration Manager registriert werden.In addition, you can register Azure VMs with System Center Configuration Manager. Danach können Sie die Configuration Manager-Workload zu Azure migrieren und Berichterstellung und Softwareupdates über eine einzelne Webschnittstelle abwickeln.You can then migrate the Configuration Manager workload to Azure and do reporting and software updates from a single web interface.

    Diagramm: VM-Updates Abbildung 18: VM-UpdatesDiagram of VM updates. Figure 18: VM updates.

Weitere Informationen:Learn more:

Implementieren eines Change Management-ProzessesImplement a change management process

Wie bei jedem Produktionssystem kann sich jede Art von Änderung auf Ihre Umgebung auswirken.As with any production system, making any type of change can affect your environment. Ein Change Management-Prozess, in dem Anforderungen gesendet werden müssen, damit Änderungen am Produktionssystem vorgenommen werden können, ist eine wertvolle Ergänzung zu Ihrer migrierten Umgebung.A change management process that requires requests to be submitted in order to make changes to production systems is a valuable addition in your migrated environment.

  • Sie können Best Practices-Frameworks für das Change Management erstellen, um bei Administratoren und Supportmitarbeitern das Bewusstsein für solche Prozesse zu schärfen.You can build best practice frameworks for change management to raise awareness in administrators and support staff.
  • Sie können Azure Automation verwenden, um Unterstützung bei der Konfigurationsverwaltung und Änderungsnachverfolgung für Ihre migrierten Workflows zu erhalten.You can use Azure Automation to help with configuration management and change tracking for your migrated workflows.
  • Wenn Sie einen Change Management-Prozess erzwingen, können Sie Überwachungsprotokolle verwenden, um Azure-Änderungsprotokolle mit vorhandenen Änderungsanforderungen zu verknüpfen.When enforcing change management process, you can use audit logs to link Azure change logs to existing change requests. Wenn Sie daraufhin eine Änderung bemerken, die ohne entsprechende Änderungsanforderung durchgeführt wurde, können Sie untersuchen, warum der Prozess nicht wie gewünscht funktioniert hat.Then, if you see a change made without a corresponding change request, you can investigate what went wrong in the process.

Azure bietet in Azure Automation eine Lösung für die Änderungsnachverfolgung:Azure has a change-tracking solution in Azure Automation:

  • Die Lösung verfolgt Änderungen an Windows- und Linux-Software und -Dateien, an Windows-Registrierungsschlüsseln, an Windows-Diensten und an Linux-Daemons nach.The solution tracks changes to Windows and Linux software and files, Windows registry keys, Windows services, and Linux daemons.

  • Änderungen an überwachten Servern werden zur Verarbeitung an Azure Monitor gesendet.Changes on monitored servers are sent to Azure Monitor for processing.

  • Auf die empfangenen Daten wird Logik angewendet, und der Clouddienst zeichnet die Daten auf.Logic is applied to the received data, and the cloud service records the data.

  • Im Dashboard der Änderungsnachverfolgung können Sie ganz einfach die Änderungen erkennen, die an Ihrer Serverinfrastruktur vorgenommen wurden.On the change tracking dashboard, you can easily see the changes that were made in your server infrastructure.

    Screenshot eines Change Management-Diagramms.

    Abbildung 19: Ein Change Management-Diagramm.Figure 19: A change management chart.

Weitere Informationen:Learn more:

Nächste SchritteNext steps

Informieren Sie sich über weitere Best Practices:Review other best practices: