End-to-End-Sicherheit in Azure
Eines der schlagkräftigsten Argumente dafür, Azure für Anwendungen und Dienste zu verwenden, ist die Vielzahl an Sicherheitstools und -funktionen. Diese Tools und Funktionen ermöglichen die Erstellung sicherer Lösungen auf der Grundlage der sicheren Azure-Plattform. Microsoft Azure bietet sowohl Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten als auch eine transparente Verantwortlichkeit.
Im folgenden Diagramm und der Dokumentation werden Ihnen die Sicherheitsdienste in Azure vorgestellt. Diese Sicherheitsdienste helfen Ihnen, die Sicherheitsanforderungen Ihres Unternehmens zu erfüllen sowie Ihre Benutzer, Geräte, Ressourcen, Daten und Anwendungen in der Cloud zu schützen.
Übersicht über Microsoft-Sicherheitsdienste
In der Übersicht über Sicherheitsdienste werden Dienste nach den Ressourcen, die sie schützen, gruppiert (Spalten). Im Diagramm werden Dienste auch in die folgenden Kategorien gruppiert (Zeilen):
- Sichern und Schützen: Dienste, mit denen Sie eine schichtweise, tiefgehende Verteidigungsstrategie (Defense-in-Depth) für Identität, Hosts, Netzwerke und Daten implementieren können. Diese Sammlung von Sicherheitsdiensten und -funktionen bietet eine Möglichkeit, Ihren Sicherheitsstatus in Ihrer gesamten Azure-Umgebung zu verstehen und zu verbessern.
- Erkennen von Bedrohungen – Dienste, die verdächtige Aktivitäten identifizieren und die Entschärfung der Bedrohung erleichtern.
- Untersuchen und Reagieren – Dienste, die Protokollierungsdaten abrufen, damit Sie eine verdächtige Aktivität bewerten und darauf reagieren können.
Sicherheitskontrollelemente und -baselines
Die Microsoft Cloud Security Benchmark enthält eine Sammlung von wirkungsvollen Sicherheitsempfehlungen, mit denen Sie die von Ihnen in Azure genutzten Dienste schützen können:
- Sicherheitskontrollelemente – Diese Empfehlungen gelten allgemein für Ihren Azure-Mandanten und die Azure-Dienste. Jede Empfehlung enthält eine Liste von Projektbeteiligter, die in der Regel an der Planung, Genehmigung oder Implementierung des Vergleichstests beteiligt sind.
- Dienstbaselines – Diese wenden die Kontrollelemente auf einzelne Azure-Dienste an, um Empfehlungen für die Sicherheitskonfiguration des jeweiligen Diensts zu geben.
Sichern und Schützen
| Dienst | BESCHREIBUNG |
|---|---|
| Microsoft Defender für Cloud | Ein vereinheitlichtes Sicherheitsverwaltungssystem für Infrastrukturen, mit dem der Sicherheitsstatus Ihrer Rechenzentren gestärkt sowie ein erweiterter Schutz vor Bedrohungen für Ihre Hybridworkloads in der Cloud (in Azure oder anderswo) und der lokalen Umgebung bereitgestellt wird. |
| Identitäts- und Zugriffsverwaltung | |
| Microsoft Entra ID | Cloudbasierter Identitäts- und Zugriffsverwaltungsdienst von Microsoft. |
| Bedingter Zugriff ist das Tool, das von Microsoft Entra ID verwendet wird, um Identitätssignale zusammenzuführen, Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen. | |
| Domain Services ist das von Microsoft Entra ID verwendete Tool zur Bereitstellung von verwalteten Domänendiensten wie Domänenbeitritt, Gruppenrichtlinie, Lightweight Directory Access Protocol (LDAP) und Kerberos-/NTLM-Authentifizierung. | |
| Privileged Identity Management (PIM) ist ein Dienst in Microsoft Entra ID, mit dem Sie den Zugriff auf wichtige Ressourcen innerhalb Ihrer Organisation verwalten, steuern und überwachen können. | |
| Multi-Faktor-Authentifizierung ist das von Microsoft Entra ID verwendete Tool zum Schutz des Zugriffs auf Daten und Anwendungen durch Anforderung einer zweiten Form der Authentifizierung. | |
| Microsoft Entra ID-Schutz | Ein Tool, mit dem Organisationen die Erkennung und Behebung identitätsbasierter Risiken automatisieren, Risiken anhand von Daten im Portal untersuchen und Risikoerkennungsdaten zur weiteren Analyse in Hilfsprogramme von Drittanbietern exportieren können. |
| Infrastruktur und Netzwerk | |
| VPN Gateway | Ein Gateway für virtuelle Netzwerke, das zum Senden von verschlüsseltem Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet sowie zum Senden von verschlüsseltem Datenverkehr zwischen virtuellen Azure-Netzwerken über das Microsoft-Netzwerk dient. |
| Azure DDoS Protection | Bietet erweiterte DDoS-Risikominderungsfeatures zum Schutz vor DDoS-Angriffen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen. |
| Azure Front Door | Ein globaler und skalierbarer Einstiegspunkt, der es ermöglicht, über das globale Microsoft Edge-Netzwerk schnelle, sichere und umfassend skalierbare Webanwendungen zu erstellen. |
| Azure Firewall | Cloudnativer, intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre cloudbasierten, in Azure ausgeführten Workloads bietet. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Azure Firewall wird in drei SKUs angeboten: Standard, Premium und Basic. |
| Azure Key Vault | Ein sicherer Geheimnisspeicher für Token, Kennwörter, Zertifikate, API-Schlüssel und andere Geheimnisse. Key Vault kann auch zum Erstellen und Kontrollieren der Verschlüsselungsschlüssel verwendet werden, mit denen Ihre Daten verschlüsselt werden. |
| Verwaltetes HSM von Key Vault | Ein vollständig verwalteter, hochverfügbarer und standardkonformer Einzelmandanten-Clouddienst, der es Ihnen ermöglicht, kryptografische Schlüssel für Ihre Cloudanwendungen über HSMs zu schützen, die mit FIPS 140-2 Level 3 validiert wurden. |
| Azure Private Link | Ermöglicht Ihnen den Zugriff auf Azure-PaaS-Dienste (z. B. Azure Storage und SQL Database) sowie auf in Azure gehostete kundeneigene Dienste/Partnerdienste über einen privaten Endpunkt in Ihrem virtuellen Netzwerk. |
| Azure Application Gateway | Ein erweiterter Lastenausgleich für Webdatenverkehr, mit dem Sie Datenverkehr für Ihre Webanwendungen verwalten können. Application Gateway kann Routingentscheidungen auf der Grundlage zusätzlicher Attribute einer HTTP-Anforderung treffen. Beispiele für solche Attribute wären etwa der URI-Pfad oder Hostheader. |
| Azure Service Bus | Ein vollständig verwalteter Nachrichtenbroker für Unternehmen mit Nachrichtenwarteschlangen und Veröffentlichen/Abonnieren-Themen. Mithilfe von Service Bus werden Anwendungen und Dienste voneinander entkoppelt. |
| Web Application Firewall | Bietet zentralisierten Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken. WAF kann mit Azure Application Gateway und Azure Front Door bereitgestellt werden. |
| Azure Policy | Hilft bei der Durchsetzung von Organisationsstandards und der Bewertung der Compliance im großen Stil. Über sein Compliance-Dashboard bietet der Dienst eine aggregierte Ansicht zur Bewertung des Gesamtzustands der Umgebung mit der Möglichkeit, einen Drilldown zur Granularität pro Ressource und Richtlinie durchzuführen. Außerdem trägt er durch Massenwartung für vorhandene Ressourcen und automatische Wartung dazu bei, dass Ihre Ressourcen Compliance-Anforderungen erfüllen. |
| Daten und Anwendung | |
| Azure Backup | Bietet einfache, sichere und kostengünstige Lösungen, um Ihre Daten zu sichern und aus der Microsoft Azure-Cloud wiederherzustellen. |
| Azure Storage Service Encryption | Verschlüsselt Daten automatisch, bevor sie gespeichert werden, und entschlüsselt die Daten automatisch, wenn Sie sie abrufen. |
| Azure Information Protection | Eine cloudbasierte Lösung, mit der Organisationen Dokumente und E-Mails durch das Anwenden von Bezeichnungen auf den Inhalt ermitteln, klassifizieren und schützen können. |
| API Management | Eine Möglichkeit zum Erstellen von konsistenten und modernen API-Gateways für vorhandene Back-End-Dienste. |
| Confidential Computing in Azure | Ermöglicht es Ihnen, Ihre vertraulichen Daten zu isolieren, während sie in der Cloud verarbeitet werden. |
| Azure DevOps | Ihre Entwicklungsprojekte profitieren von mehreren Sicherheitsstufen und Governancetechnologien, betrieblichen Verfahren und Konformitätsrichtlinien, wenn sie in Azure DevOps gespeichert werden. |
| Kundenzugriff | |
| Microsoft Entra External ID | Mit External Identities in Microsoft Entra ID können Sie Personen außerhalb Ihrer Organisation den Zugriff auf Ihre Apps und Ressourcen erlauben und es ihnen ermöglichen, sich mit ihrer bevorzugten Identität anzumelden. |
| Sie können Ihre Apps und Ressourcen für externe Benutzer*innen über Microsoft Entra B2B-Zusammenarbeit freigeben. | |
| Mithilfe von Azure AD B2C können Sie Millionen von Benutzern und Milliarden von Authentifizierungen pro Tag unterstützen, indem Bedrohungen wie Denial-of-Service-, Kennwortspray- oder Brute-Force-Angriffe überwacht und automatisch behandelt werden. |
Erkennen von Bedrohungen
| Dienst | BESCHREIBUNG |
|---|---|
| Microsoft Defender für Cloud | Bietet erweiterten, intelligenten Schutz für Ihre Azure-Ressourcen und -Workloads sowie die Hybridressourcen und -workloads. Das Dashboard für den Workloadschutz in Defender für Cloud bietet Transparenz und Kontrolle der Cloudworkloadschutz-Funktionen für Ihre Umgebung. |
| Microsoft Sentinel | Eine skalierbare, cloudnative Lösung für die Verwaltung von Sicherheitsinformationen und -ereignissen (Security Information & Event Management, SIEM) sowie die Sicherheitsorchestrierung mit automatisierter Reaktion (Security Orchestration Automated Response, SOAR). Sentinel bietet intelligente Sicherheitsanalysen und Bedrohungsinformationen für das gesamte Unternehmen und stellt eine zentrale Lösung für die Warnungs- und Bedrohungserkennung, die proaktive Suche sowie die Reaktion auf Bedrohungen bereit. |
| Identitäts- und Zugriffsverwaltung | |
| Microsoft Defender XDR | Eine einheitliche Unternehmenssuite zur Verteidigung vor und nach Sicherheitsverletzungen, die nativ die Erkennung, Verhinderung, Untersuchung und Reaktion über Endpunkte, Identitäten, E-Mails und Anwendungen hinweg koordiniert, um einen integrierten Schutz vor komplexen Angriffen zu bieten. |
| Microsoft Defender für Endpunkt (Microsoft Defender Advanced Threat Protection, MDATP) ist eine Endpunktsicherheitsplattform für Unternehmen, die helfen soll, komplexe Bedrohungen zu vermeiden, zu erkennen, zu untersuchen und darauf zu reagieren. | |
| Microsoft Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Signale Ihrer lokalen Active Directory-Instanz nutzt, um komplexe Bedrohungen, gefährdete Identitäten sowie schädliche Insideraktionen gegen Ihre Organisation zu identifizieren, zu erkennen und zu untersuchen. | |
| Microsoft Entra ID-Schutz | Sendet zwei Arten von automatisierten Benachrichtigungs-E-Mails, um Sie bei der Verwaltung von Benutzerrisiken und Risikoerkennungen zu unterstützen: „E-Mail für erkannte gefährdete Benutzer“ und „Wöchentliche E-Mail mit Übersicht“. |
| Infrastruktur und Netzwerk | |
| Azure Firewall | Azure Firewall Premium bietet signaturbasiertes IDPS (Intrusion Detection and Prevention System), um eine schnelle Erkennung von Angriffen zu ermöglichen, indem nach bestimmten Mustern gesucht wird, z. B. nach Bytesequenzen im Netzwerkdatenverkehr oder nach bekannten schädlichen Anweisungssequenzen, die von Malware verwendet werden. |
| Microsoft Defender für IoT | Eine einheitliche Sicherheitslösung zum Identifizieren von IoT/OT-Geräten, Sicherheitsrisiken und Bedrohungen. Diese Lösung bietet Schutz für Ihre gesamte IoT/OT-Umgebung. Dabei spielt es keine Rolle, ob Sie vorhandene IoT/OT-Geräte schützen oder Sicherheit in IoT-Innovationen integrieren müssen. |
| Azure Network Watcher | Bietet Tools für die Überwachung, Diagnose, Metrikanzeige und Aktivierung oder Deaktivierung von Protokollen für Ressourcen in einem virtuellen Azure-Netzwerk. Network Watcher ist für die Überwachung und Wiederherstellung der Netzwerkintegrität von IaaS-Produkten konzipiert, darunter z. B. Virtual Machines, virtuelle Netzwerke, Anwendungsgateways und Lastenausgleichsmodule. |
| Azure Policy | Hilft bei der Durchsetzung von Organisationsstandards und der Bewertung der Compliance im großen Stil. Azure Policy verwendet automatisch aktivierte Aktivitätsprotokolle, um Elemente wie Ereignisquelle, Datum, Benutzer, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente einzubeziehen. |
| Daten und Anwendung | |
| Microsoft Defender für Container | Eine cloudnative Lösung, die zum Schützen Ihrer Container verwendet wird, damit Sie die Sicherheit Ihrer Cluster, Container und Anwendungen verbessern, überwachen und verwalten können. |
| Microsoft Defender für Cloud-Apps | Ein Cloud Access Security Broker (CASB), der in mehreren Clouds betrieben wird. Er bietet umfassende Transparenz, Kontrolle über den Datenverkehr sowie anspruchsvolle Analysefunktionen zum Erkennen und Bekämpfen von Cyberbedrohungen für sämtliche Clouddienste. |
Untersuchen und Reagieren
| Dienst | Beschreibung |
|---|---|
| Microsoft Sentinel | Leistungsstarke Such- und Abfragetools zum Aufspüren von Sicherheitsbedrohungen in den Datenquellen Ihrer Organisation. |
| Azure Monitor-Protokolle und -Metriken | Bietet eine umfassende Lösung für das Sammeln, Analysieren und Behandeln von Telemetriedaten aus Ihren Cloud- und lokalen Umgebungen. Azure Monitor sammelt und aggregiert Daten aus einer Vielzahl von Quellen auf einer gemeinsamen Datenplattform, wo diese Daten zur Analyse, Visualisierung und Ausgabe von Warnungen verwendet werden können. |
| Identitäts- und Zugriffsverwaltung | |
| Azure AD-Berichte und Überwachung | Microsoft Entra-Berichte bieten einen umfassenden Überblick über Aktivitäten in Ihrer Umgebung. |
| Mithilfe der Microsoft Entra-Überwachung können Sie Ihre Microsoft Entra-Aktivitätsprotokolle an verschiedene Endpunkte weiterleiten. | |
| Microsoft Entra PIM-Überwachungsverlauf | Zeigt alle Rollenzuweisungen und -aktivierungen innerhalb der letzten 30 Tage für alle privilegierten Rollen. |
| Daten und Anwendung | |
| Microsoft Defender für Cloud-Apps | Stellt Tools bereit, damit Sie besser verstehen, was gerade in Ihrer Cloudumgebung geschieht. |
Nächste Schritte
Informieren Sie sich über die gemeinsame Verantwortung in der Cloud.
Informieren Sie sich über die Isolationsoptionen in der Azure-Cloud gegen böswillige und nicht böswillige Benutzer.