Bewährte Sicherheitsmethoden für IaaS-Workloads in AzureSecurity best practices for IaaS workloads in Azure

In den meisten IaaS-Szenarien (Infrastructure-as-a-Service, Infrastruktur als Dienst) stellen virtuelle Azure-Computer (Virtual Machines, VMs) die Hauptworkload für Organisationen dar, die Cloud Computing verwenden.In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. Dies gilt in Hybridszenarien, in denen Organisationen Workloads nach und nach in die Cloud migrieren möchten.This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. Orientieren Sie sich in solchen Szenarien an den allgemeinen Sicherheitsaspekten für IaaS, und wenden Sie bewährte Sicherheitsmethoden für alle Ihre virtuellen Computer an.In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Ihre Zuständigkeit für die Sicherheit basiert auf dem Typ des Clouddiensts.Your responsibility for security is based on the type of cloud service. Das folgende Diagramm enthält eine Zusammenfassung der Zuständigkeitsverteilung zwischen Microsoft und Ihnen:The following chart summarizes the balance of responsibility for both Microsoft and you:

Zuständigkeitsbereiche

Die Sicherheitsanforderungen hängen von einer Reihe von Faktoren ab, darunter verschiedene Typen von Workloads.Security requirements vary depending on a number of factors including different types of workloads. Keine dieser bewährten Methoden wäre alleine dafür geeignet, Ihre Systeme abzusichern.Not one of these best practices can by itself secure your systems. Genau wie bei anderen Sicherheitsaspekten müssen Sie die geeigneten Optionen auswählen und prüfen, wie sich die einzelnen Lösungen gegenseitig ergänzen können.Like anything else in security, you have to choose the appropriate options and see how the solutions can complement each other by filling gaps.

Dieser Artikel beschreibt bewährte Best Practices für die Sicherheit von virtuellen Computern und Betriebssystemen.This article describes security best practices for VMs and operating systems.

Die bewährten Methoden basieren auf einer gemeinsamen Linie und eignen sich für aktuelle Funktionen und Features der Azure-Plattform.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Da sich Meinungen und Technologien im Laufe der Zeit verändern können, wird dieser Artikel regelmäßig aktualisiert, um diesen Veränderungen Rechnung zu tragen.Because opinions and technologies can change over time, this article will be updated to reflect those changes.

Schützen von VMs mittels Authentifizierungs- und ZugriffssteuerungProtect VMs by using authentication and access control

Der erste Schritt zum Schutz Ihrer virtuellen Computer ist, sicherzustellen, dass nur autorisierte Benutzer neue VMs einrichten und auf VMs zugreifen können.The first step in protecting your VMs is to ensure that only authorized users can set up new VMs and access VMs.

Best Practice: Steuern des VM-Zugriffs.Best practice: Control VM access.
Detail: Verwenden Sie Azure-Richtlinien, um Konventionen für Ressourcen in Ihrer Organisation einzurichten und benutzerdefinierte Richtlinien zu erstellen.Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Wenden Sie diese Richtlinien auf Ressourcen wie z.B. Ressourcengruppen an.Apply these policies to resources, such as resource groups. Virtuelle Computer, die einer Ressourcengruppe angehören, erben deren Richtlinien.VMs that belong to a resource group inherit its policies.

Wenn Ihre Organisation über viele Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements.If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. Azure-Verwaltungsgruppen stellen einen abonnementübergreifenden Bereich bereit.Azure management groups provide a level of scope above subscriptions. Sie organisieren Abonnements in Verwaltungsgruppen (Containern) und wenden Ihre Governancebedingungen auf diese Gruppen an.You organize subscriptions into management groups (containers) and apply your governance conditions to those groups. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Gruppe angewendeten Bedingungen.All subscriptions within a management group automatically inherit the conditions applied to the group. Verwaltungsgruppen ermöglichen Ihnen – unabhängig von den Arten Ihrer Abonnements – die unternehmenstaugliche Verwaltung in großem Umfang.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

Best Practice: Verringern Sie die Variabilität in Ihrer Installation und Bereitstellung von virtuellen Computern.Best practice: Reduce variability in your setup and deployment of VMs.
Detail: Verwenden Sie Azure Resource Manager-Vorlagen, um Ihre Bereitstellungsoptionen zu schützen und das Verstehen und Inventarisieren der virtuellen Computer in Ihrer Umgebung zu vereinfachen.Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Best Practice: Schützen des privilegierten Zugriffs.Best practice: Secure privileged access.
Detail: Verwenden Sie den Ansatz der geringsten Rechte und integrierte Azure-Rollen, um Benutzern den Zugriff auf virtuelle Computer und deren Einrichtung zu ermöglichen:Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

Ihre Abonnementadministratoren und Coadministratoren können diese Einstellung ändern und so zu Administratoren aller virtuellen Computer in einem Abonnement werden.Your subscription admins and coadmins can change this setting, making them administrators of all the VMs in a subscription. Achten Sie darauf, dass alle Ihre Abonnementadministratoren und -coadministratoren für die Anmeldung bei Ihren Computern vertrauenswürdig sind.Be sure that you trust all of your subscription admins and coadmins to log in to any of your machines.

Hinweis

Sie sollten virtuelle Computer mit gleichem Lebenszyklus in der gleichen Ressourcengruppe zusammenzufassen.We recommend that you consolidate VMs with the same lifecycle into the same resource group. Ressourcengruppen ermöglichen die Bereitstellung und Überwachung Ihrer Ressourcen sowie die Zusammenfassung der Abrechnungskosten für Ihre Ressourcen.By using resource groups, you can deploy, monitor, and roll up billing costs for your resources.

Organisationen, die VM-Zugriff und -Einrichtung steuern, verbessern die gesamte VM-Sicherheit.Organizations that control VM access and setup improve their overall VM security.

Verwenden mehrerer virtueller Computer für eine höhere VerfügbarkeitUse multiple VMs for better availability

Falls Ihr virtueller Computer kritische Anwendungen ausführt, die Hochverfügbarkeit erfordern, empfiehlt sich die Verwendung mehrerer virtueller Computer.If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. Verwenden Sie für eine höhere Verfügbarkeit eine Verfügbarkeitsgruppe.For better availability, use an availability set.

Eine Verfügbarkeitsgruppe ist eine logische Gruppierung, mit der Sie in Azure sicherstellen können, dass die darin enthaltenen VM-Ressourcen voneinander isoliert sind, wenn sie in einem Azure-Rechenzentrum bereitgestellt werden.An availability set is a logical grouping that you can use in Azure to ensure that the VM resources you place within it are isolated from each other when they’re deployed in an Azure datacenter. Azure stellt sicher, dass die VMs innerhalb einer Verfügbarkeitsgruppe auf mehrere physische Server, Computeracks, Speichereinheiten und Netzwerkswitches verteilt werden.Azure ensures that the VMs you place in an availability set run across multiple physical servers, compute racks, storage units, and network switches. Wenn ein Hardware- oder Softwarefehler in Azure auftritt, ist nur ein Teil Ihrer VMs beeinträchtigt, und die Anwendung ist insgesamt weiterhin für Ihre Kunden verfügbar.If a hardware or Azure software failure occurs, only a subset of your VMs are affected, and your overall application continues to be available to your customers. Verfügbarkeitsgruppen haben eine wichtige Funktion bei der Erstellung zuverlässiger Cloudlösungen.Availability sets are an essential capability when you want to build reliable cloud solutions.

Schutz vor MalwareProtect against malware

Installieren Sie einen Schadsoftwareschutz, um Viren, Spyware und andere Schadsoftware zu erkennen und zu entfernen.You should install antimalware protection to help identify and remove viruses, spyware, and other malicious software. Sie können Microsoft Antimalware oder die Endpunktschutz-Lösung eines Microsoft-Partners (Trend Micro, Symantec, McAfee, Windows Defender und System Center Endpoint Protection) installieren.You can install Microsoft Antimalware or a Microsoft partner’s endpoint protection solution (Trend Micro, Symantec, McAfee, Windows Defender, and System Center Endpoint Protection).

Microsoft-Antischadsoftware umfasst Features wie Echtzeitschutz, geplante Überprüfungen, Malwareproblembehandlung, Signaturupdates, Engine-Updates, Beispielberichte und Sammlungen von Ausschlussereignissen.Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, and exclusion event collection. Für Umgebungen, die getrennt von Ihrer Produktionsumgebung gehostet werden, können Sie eine Antischadsoftware-Erweiterung verwenden, um den Schutz Ihrer VMs und Clouddienste zu verbessern.For environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your VMs and cloud services.

Sie können Microsoft Antimalware und Partnerlösungen zur Vereinfachung der Bereitstellung und für integrierte Erkennungen (Warnungen und Vorfälle) in Azure Security Center integrieren.You can integrate Microsoft Antimalware and partner solutions with Azure Security Center for ease of deployment and built-in detections (alerts and incidents).

Best Practice: Installieren Sie eine Antischadsoftware-Lösung zum Schutz vor Malware.Best practice: Install an antimalware solution to protect against malware.
Detail: Installieren Sie eine Microsoft-Partnerlösung oder Microsoft Antimalware.Detail: Install a Microsoft partner solution or Microsoft Antimalware

Best Practice: Integrieren Sie Ihre Antischadsoftware-Lösung zum Überwachen des Status Ihres Schutzes in Security Center.Best practice: Integrate your antimalware solution with Security Center to monitor the status of your protection.
Detail: Verwalten Sie Endpunktschutz-Probleme mit Security CenterDetail: Manage endpoint protection issues with Security Center

Verwalten Ihrer Updates für virtuelle ComputerManage your VM updates

Azure-VMs sollen wie alle lokalen VMs vom Benutzer verwaltet werden.Azure VMs, like all on-premises VMs, are meant to be user managed. Azure führt bei ihnen keine Pushübertragungen von Windows-Updates durch.Azure doesn't push Windows updates to them. Sie müssen Ihre Updates für virtuelle Computer verwalten.You need to manage your VM updates.

Best Practice: Halten Sie Ihre virtuellen Computer auf dem neuesten Stand.Best practice: Keep your VMs current.
Detail: Sie können die Lösung für die Updateverwaltung in Azure Automation für Betriebssystemupdates für Ihre Windows- und Linux-Computer verwalten, die in Azure, in lokalen Umgebungen oder bei anderen Cloudanbietern bereitgestellt werden.Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Sie können den Status der verfügbaren Updates auf allen Agent-Computern schnell auswerten und die Installation der für den Server erforderlichen Updates initiieren.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Verwenden Sie für Computer, die mit der Updateverwaltung verwaltet werden, die folgenden Konfigurationen, um Bewertungen und Updatebereitstellungen durchzuführen:Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) für Windows oder LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • PowerShell Desired State Configuration (DSC) für LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Automation Hybrid Runbook WorkerAutomation Hybrid Runbook Worker
  • Microsoft Update oder Windows Server Update Services (WSUS) für Windows-ComputerMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

Wenn Sie Windows Update verwenden, lassen Sie die Einstellung für automatische Windows-Updates aktiviert.If you use Windows Update, leave the automatic Windows Update setting enabled.

Best Practice: Stellen Sie bei der Bereitstellung sicher, dass Images, die Sie erstellt haben, die neueste Runde von Windows-Updates enthalten.Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detail: Suchen Sie bei jeder Bereitstellung zuerst alle Windows-Updates, und installieren Sie sie.Detail: Check for and install all Windows updates as a first step of every deployment. Dies ist besonders wichtig, wenn Sie Images bereitstellen, die von Ihnen selbst oder aus Ihrer eigenen Bibliothek stammen.This measure is especially important to apply when you deploy images that come from either you or your own library. Obwohl Images aus dem Azure Marketplace standardmäßig automatisch aktualisiert werden, kann nach einem öffentlichen Release eine Verzögerung (bis zu ein paar Wochen) eintreten.Although images from the Azure Marketplace are updated automatically by default, there can be a lag time (up to a few weeks) after a public release.

Best Practice: Stellen Sie in regelmäßigen Abständen Ihre virtuellen Computer erneut bereit, um eine neue Version des Betriebssystems zu erzwingen.Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detail: Definieren Sie Ihren virtuellen Computer mit einer Azure Resource Manager-Vorlage, sodass Sie sie problemlos erneut bereitstellen können.Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. Mithilfe einer Vorlage erhalten Sie bei Bedarf eine gepatchte und sichere VM.Using a template gives you a patched and secure VM when you need it.

Best Practice: Installieren Sie die neuesten Sicherheitsupdates.Best practice: Install the latest security updates.
Detail: Zu den Workloads, die von Kunden als erste in Azure verschoben werden, zählen unter anderem Labs und Systeme mit externer Verbindung.Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Wenn Ihre in Azure gehosteten virtuellen Computer Anwendungen oder Dienste hosten, die über das Internet zugänglich sein sollen, müssen Sie beim Patchen aufmerksam sein.If your Azure VMs host applications or services that need to be accessible to the internet, be vigilant about patching. Beschränken Sie sich beim Patchen nicht nur auf das Betriebssystem.Patch beyond the operating system. Ungepatchte Sicherheitsrisiken in Partneranwendungen können ebenfalls zu Problemen führen, die mit einer guten Patchverwaltung vermeidbar sind.Unpatched vulnerabilities on partner applications can also lead to problems that can be avoided if good patch management is in place.

Best Practice: Stellen Sie eine Sicherungslösung bereit, und testen Sie sie.Best practice: Deploy and test a backup solution.
Detail: Eine Sicherung muss in gleicher Weise behandelt werden wie alle anderen Vorgänge.Detail: A backup needs to be handled the same way that you handle any other operation. Dies gilt für alle Systeme in Ihrer Produktionsumgebung, die sich bis in die Cloud erstreckt.This is true of systems that are part of your production environment extending to the cloud.

Für Test- und Entwicklungssysteme müssen Sicherungsstrategien mit Wiederherstellungsfunktionen verwendet werden, die sich an den Erfahrungen orientieren, die Benutzer bereits mit lokalen Umgebungen gemacht haben.Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments. In Azure verschobene Workloads sollten sich möglichst in die vorhandenen Sicherheitslösungen integrieren lassen.Production workloads moved to Azure should integrate with existing backup solutions when possible. Alternativ können Sie sich bei der Erfüllung ihrer Sicherungsanforderungen von Azure Backup unterstützen lassen.Or, you can use Azure Backup to help address your backup requirements.

Organisationen, die keine Softwareupdaterichtlinien erzwingen, sind anfälliger für Angreifer, die sich bekannte, bereits korrigierte Sicherheitslücken zunutze machen.Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. Unternehmen müssen zur Erfüllung von Branchenbestimmungen nachweisen, dass sie gewissenhaft arbeiten und geeignete Sicherheitsmaßnahmen ergreifen, um die Sicherheit ihrer Workloads in der Cloud zu gewährleisten.To comply with industry regulations, companies must prove that they are diligent and using correct security controls to help ensure the security of their workloads located in the cloud.

Bewährte Softwareupdatemethoden für herkömmliche Rechenzentren und Azure-IaaS sind sich in vielen Punkten ähnlich.Software-update best practices for a traditional datacenter and Azure IaaS have many similarities. Sie sollten Ihre aktuellen Softwareupdaterichtlinien evaluieren und virtuelle Computer in Azure mit einbeziehen.We recommend that you evaluate your current software update policies to include VMs located in Azure.

Verwalten des Sicherheitsstatus Ihrer virtuellen ComputerManage your VM security posture

Cyberbedrohungen entwickeln sich stetig weiter.Cyberthreats are evolving. Der Schutz Ihrer virtuellen Computer erfordert daher umfangreiche Überwachungsfunktionen, die Bedrohungen schnell erkennen, nicht autorisierte Zugriffe auf Ihre Ressourcen verhindern, Warnungen auslösen und falsch positive Ergebnisse verringern.Safeguarding your VMs requires a monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives.

Den Sicherheitsstatus Ihrer virtuellen Windows-Computer und virtuellen Linux-Computer können Sie mithilfe von Azure Security Center überwachen.To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. Zum Schutz Ihrer virtuellen Computer stehen Ihnen im Security Center folgende Funktionen zur Verfügung:In Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • Anwenden von Sicherheitseinstellungen des Betriebssystems mit empfohlenen Konfigurationsregeln.Apply OS security settings with recommended configuration rules.
  • Ermitteln und Herunterladen sicherheitsrelevanter und wichtiger Updates, die möglicherweise noch fehlen.Identify and download system security and critical updates that might be missing.
  • Bereitstellen von Empfehlungen zum Schutz von Endpunkten vor Schadsoftware.Deploy recommendations for endpoint antimalware protection.
  • Überprüfen der Datenträgerverschlüsselung.Validate disk encryption.
  • Bewerten und Beseitigen von Sicherheitsrisiken.Assess and remediate vulnerabilities.
  • Erkennen von Bedrohungen.Detect threats.

Security Center kann aktiv nach Bedrohungen suchen, und potenzielle Bedrohungen werden in Sicherheitswarnungen angezeigt.Security Center can actively monitor for threats, and potential threats are exposed in security alerts. Korrelierte Bedrohungen werden in einer zentralen Ansicht namens „Sicherheitsvorfall“ aggregiert.Correlated threats are aggregated in a single view called a security incident.

Security Center speichert Daten in Azure Log Analytics.Security Center stores data in Azure Log Analytics. Log Analytics bietet eine Abfragesprache und eine Analyseengine, die Ihnen Einblicke in den Betrieb Ihrer Anwendungen und Ressourcen gibt.Log Analytics provides a query language and analytics engine that gives you insights into the operation of your applications and resources. Zudem werden Daten aus Azure Monitor, Verwaltungslösungen und auf den virtuellen Computern in der Cloud oder lokal installierten Agents gesammelt.Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Dadurch erhalten Sie ein vollständiges Bild von Ihrer gesamten Umgebung.This shared functionality helps you form a complete picture of your environment.

Organisationen, die für ihre virtuellen Computer kein hohes Maß an Sicherheit erzwingen, bleiben potenzielle Vorfälle, bei denen nicht autorisierte Benutzer versuchen, die Sicherheitskontrollen zu umgehen, verborgen.Organizations that don't enforce strong security for their VMs remain unaware of potential attempts by unauthorized users to circumvent security controls.

Überwachen der Leistung virtueller ComputerMonitor VM performance

Ressourcenmissbrauch kann problematisch sein, wenn Prozesse von virtuellen Computern mehr Ressourcen beanspruchen als sie sollten.Resource abuse can be a problem when VM processes consume more resources than they should. Leistungsprobleme bei einem virtuellen Computer können zu einer Dienstunterbrechung führen und gegen das Sicherheitsprinzip der Verfügbarkeit verstoßen.Performance issues with a VM can lead to service disruption, which violates the security principle of availability. Dies ist besonders wichtig für virtuelle Computer, die IIS oder andere Webserver hosten, da hohe CPU-Auslastung oder Arbeitsspeichernutzung auf einen DoS-Angriff (Denial of Service) hinweisen.This is particularly important for VMs that are hosting IIS or other web servers, because high CPU or memory usage might indicate a denial of service (DoS) attack. Der Zugriff auf virtuelle Computer muss nicht nur reaktiv – also wenn bereits ein Problem auftritt – sondern auch proaktiv anhand einer im Normalbetrieb ermittelten Baseline überwacht werden.It’s imperative to monitor VM access not only reactively while an issue is occurring, but also proactively against baseline performance as measured during normal operation.

Sie sollten sich mit Azure Monitor Einblick in den Zustand Ihrer Ressourcen verschaffen.We recommend that you use Azure Monitor to gain visibility into your resource’s health. Azure Monitor umfasst:Azure Monitor features:

Organisationen, die die Leistung virtueller Computer nicht überwachen, können nicht ermitteln, ob bestimmte Veränderungen bei Leistungsmustern normal sind.Organizations that don't monitor VM performance can’t determine whether certain changes in performance patterns are normal or abnormal. Wenn ein virtueller Computer mehr Ressourcen beansprucht als normal, kann dies auf einen Angriff über eine externe Ressource oder die Ausführung eines kompromittierten Prozesses auf diesem virtuellen Computer hindeuten.A VM that’s consuming more resources than normal might indicate an attack from an external resource or a compromised process running in the VM.

Verschlüsseln Ihrer VHD-DateienEncrypt your virtual hard disk files

Sie sollten Ihre virtuellen Festplatten (VHDs) verschlüsseln, um Ihr Startvolume und Ihre Datenvolumes im Ruhezustand im Speicher zu schützen, zusammen mit Ihren Verschlüsselungsschlüsseln und Geheimnissen.We recommend that you encrypt your virtual hard disks (VHDs) to help protect your boot volume and data volumes at rest in storage, along with your encryption keys and secrets.

Mit Azure Disk Encryption können Sie die Datenträger von virtuellen Windows- und Linux-IaaS-Computern verschlüsseln.Azure Disk Encryption helps you encrypt your Windows and Linux IaaS virtual machine disks. Azure Disk Encryption verwendet das Branchenstandardfeature BitLocker von Windows und das Feature DM-Crypt von Linux, um Volumeverschlüsselung für das Betriebssystem und die Datenträger bereitzustellen.Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. Die Lösung ist in Azure Key Vault integriert, damit Sie die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement steuern und verwalten können.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. Diese Lösung stellt außerdem sicher, dass alle ruhenden Daten auf den Datenträgern der virtuellen Computer in Azure Storage verschlüsselt sind.The solution also ensures that all data on the virtual machine disks are encrypted at rest in Azure Storage.

Folgende Methoden haben sich bei der Verwendung von Azure Disk Encryption bewährt:Following are best practices for using Azure Disk Encryption:

Best Practice: Aktivieren Sie die Verschlüsselung auf virtuellen Computern.Best practice: Enable encryption on VMs.
Detail: Azure Disk Encryption generiert die Verschlüsselungsschlüssel und schreibt sie in Ihren Schlüsseltresor.Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. Das Verwalten von Verschlüsselungsschlüsseln im Schlüsseltresor erfordert eine Azure AD-Authentifizierung.Managing encryption keys in your key vault requires Azure AD authentication. Erstellen Sie dafür eine Azure AD-Anwendung.Create an Azure AD application for this purpose. Zu Authentifizierungszwecken können Sie entweder die auf einem geheimen Clientschlüssel basierende Authentifizierung oder die auf einem Clientzertifikat basierende Azure AD-Authentifizierung verwenden.For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

Best Practice: Sorgen Sie mit einem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) für zusätzlichen Schutz für Verschlüsselungsschlüssel.Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Fügen Sie Ihrem Schlüsseltresor einen KEK hinzu.Add a KEK to your key vault.
Detail: Erstellen Sie mit dem Cmdlet Add-AzureKeyVaultKey im Schlüsseltresor einen Schlüsselverschlüsselungsschlüssel.Detail: Use the Add-AzureKeyVaultKey cmdlet to create a key encryption key in the key vault. Sie können den KEK auch aus Ihrem lokalen Hardwaresicherheitsmodul (HSM) für die Schlüsselverwaltung importieren.You can also import a KEK from your on-premises hardware security module (HSM) for key management. Weitere Informationen finden Sie in der Key Vault-Dokumentation.For more information, see the Key Vault documentation. Wenn ein Schlüsselverschlüsselungsschlüssel angegeben wird, verwendet Azure Disk Encryption diesen, um Verschlüsselungsgeheimnisse vor dem Schreiben in Key Vault zu umschließen.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. Zusätzlichen Schutz vor versehentlichem Löschen von Schlüsseln bietet das Hinterlegen einer Kopie dieses Schlüssels in einem lokalen Schlüsselverwaltungs-HSM.Keeping an escrow copy of this key in an on-premises key management HSM offers additional protection against accidental deletion of keys.

Best Practice: Erstellen Sie eine Momentaufnahme, und/oder sichern Sie die Datenträger, bevor diese verschlüsselt werden.Best practice: Take a snapshot and/or backup before disks are encrypted. Sicherungen bieten eine Wiederherstellungsoption, wenn während der Verschlüsselung ein unerwarteter Fehler auftritt.Backups provide a recovery option if an unexpected failure happens during encryption.
Detail: Für VMs mit verwalteten Datenträgern ist eine Sicherung erforderlich, bevor die Verschlüsselung durchgeführt wird.Detail: VMs with managed disks require a backup before encryption occurs. Nach der Erstellung einer Sicherung können Sie das Cmdlet Set-AzureRmVMDiskEncryptionExtension verwenden, um verwaltete Datenträger durch das Angeben des Parameters -skipVmBackup zu verschlüsseln.After a backup is made, you can use the Set-AzureRmVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. Weitere Informationen zum Sichern und Wiederherstellen von verschlüsselten VMs finden Sie im Artikel Azure Backup.For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Best Practice: Um sicherzustellen, dass die Verschlüsselungsgeheimnisse die Regionsgrenzen nicht verlassen, müssen der Schlüsseltresor und die VMs sich für Azure Disk Encryption in derselben Region befinden.Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detail: Erstellen und verwenden Sie einen Schlüsseltresor, der sich in derselben Region wie die zu verschlüsselnde VM befindet.Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

Mit Azure Disk Encryption können Sie die folgenden geschäftlichen Anforderungen erfüllen:When you apply Azure Disk Encryption, you can satisfy the following business needs:

  • Virtuelle IaaS-Computer werden im Ruhezustand mit Verschlüsselungstechnologie nach Branchenstandard geschützt, um die Anforderungen an Unternehmenssicherheit und Compliance zu erfüllen.IaaS VMs are secured at rest through industry-standard encryption technology to address organizational security and compliance requirements.
  • Virtuelle IaaS-Computer werden mit vom Kunden gesteuerten Schlüsseln und Richtlinien gestartet, und Sie können ihre Nutzung in Ihrem Schlüsseltresor überwachen.IaaS VMs start under customer-controlled keys and policies, and you can audit their usage in your key vault.

Nächste SchritteNext steps

Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Die folgenden Ressourcen enthalten allgemeinere Informationen zur Sicherheit in Azure und verwandten Microsoft-Diensten:The following resources are available to provide more general information about Azure security and related Microsoft services: