Governance, Risiko und Compliance

Organisationen aller Größen werden durch ihre verfügbaren Ressourcen eingeschränkt: Finanzen, Mitarbeiter und Zeit. Um eine effektive Rendite (ROI) zu erzielen, müssen Organisationen Prioritäten für die Bereiche festlegen, in die investiert werden soll. Auch die Implementierung der Sicherheit in der gesamten Organisation ist dadurch eingeschränkt. Um also einen angemessenen ROI bei der Sicherheit zu erzielen, muss die Organisation zunächst ihre Sicherheitsprioritäten verstehen und definieren.

Governance: Wie soll die Sicherheit der Organisation überwacht, überprüft und gemeldet werden? Der Entwurf und die Implementierung von Sicherheitskontrollen innerhalb einer Organisation ist erst der Anfang. Woher weiß die Organisation, dass alles tatsächlich funktioniert? Gibt es Verbesserungen? Gibt es neue Anforderungen? Gibt es eine obligatorische Berichterstellung? Ähnlich wie bei der Compliance kann es externe Branchen-, behördliche oder gesetzliche Standards geben, die berücksichtigt werden müssen.

Risiko: Welche Arten von Risiken bestehen für die Organisation bei dem Versuch, personenbezogene Informationen, geistiges Eigentum und Finanzinformationen zu schützen? Wer könnte interessiert sein oder diese Informationen bei Diebstahl nutzen, einschließlich externer und interner Bedrohungen sowie unbeabsichtigter oder böswilliger Angriffe? Ein häufig vergessener, aber äußerst wichtiger Aspekt des Risikos ist die Notfallwiederherstellung und Geschäftskontinuität.

Compliance: Gibt es spezielle Branchen-, behördliche oder gesetzliche Anforderungen, die Empfehlungen zu Kriterien vorgeben oder bereitstellen, die von den Sicherheitskontrollen Ihrer Organisation erfüllt werden müssen? Beispiele für solche Standards, Organisationen, Kontrollen und gesetzlichen Vorgaben finden Sie in ISO27001, NIST und PCI-DSS.

Die gemeinschaftliche Aufgabe von Organisationen besteht darin, die Sicherheitsstandards der Organisation über ihren Lebenszyklus zu verwalten:

  • Definieren: Festlegung von Organisationsstandards und -richtlinien für Methoden, Technologien und Konfigurationen auf Grundlage interner Faktoren (Organisationskultur, Risikobereitschaft, Ressourcenbewertung, Geschäftsinitiativen usw.) und externer Faktoren (Benchmarks, gesetzliche Standards, Bedrohungsumfeld usw.)

  • Verbessern: Ständige Weiterentwicklung dieser Standards hin zum Idealzustand, um eine kontinuierliche Risikominderung zu gewährleisten.

  • Bewahren: Einführung von Überprüfung und Überwachung der Compliance mit Organisationsstandards zur Sicherstellung, dass sich der Sicherheitsstatus im Laufe der Zeit nicht verschlechtert.

Priorisieren von Investitionen in bewährte Sicherheitsmethoden

Bewährte Sicherheitsmethoden werden im Idealfall proaktiv und vollständig auf alle Systeme angewendet, während Sie Ihr Cloudprogramm erstellen. Das ist aber für die meisten Unternehmen nicht die Realität. Geschäftsziele, Projekteinschränkungen und andere Faktoren bewirken häufig, dass Organisationen das Sicherheitsrisiko gegen andere Risiken abwägen und nur eine Teilmenge der bewährten Methoden an einem bestimmten Punkt anwenden.

Es wird empfohlen, so früh wie möglich möglichst viele bewährte Methoden anzuwenden und dann bei der Optimierung des Sicherheitsprogramms im Laufe der Zeit alle Lücken zu schließen. Bei der Festlegung der Reihenfolge für die Priorisierung sollten folgende Überlegungen ausschlaggebend sein:

  • Systeme mit hoher geschäftlicher Auswirkung und hoher Verfügbarkeit: Dazu gehören Systeme mit direktem Eigenwert sowie Systeme, die Angreifern einen Zugangspfad bereitstellen. Weitere Informationen finden Sie unter Identifizieren und Klassifizieren von unternehmenskritischen Anwendungen.

  • Am einfachsten zu implementierende Gegenmaßnahmen: Erzielen schneller Ergebnisse, indem Sie die bewährten Methoden priorisieren, die von Ihrer Organisation schnell umgesetzt werden können, da Sie bereits über die erforderlichen Kenntnisse, Tools und Fähigkeiten verfügen (z.B. Implementieren einer Web App Firewall (WAF) zum Schutz einer Legacyanwendung).
    Achten Sie darauf, dass Sie diese kurzfristige Priorisierungsmethode nicht ausschließlich (oder übermäßig) verwenden. Dadurch kann sich das Risiko erhöhen, da ein Wachsen Ihres Programms verhindert wird und kritische Risiken über längere Zeiträume bestehen bleiben.

Microsoft stellt einige Listen mit priorisierten Sicherheitsinitiativen bereit, damit Organisationen bei diesen Entscheidungen auf unsere Erfahrungen mit Bedrohungen sowie Initiativen für Gegenmaßnahmen in unseren eigenen Umgebungen und bei unseren Kunden zurückgreifen können. Informationen finden Sie in Modul 4a des Microsoft CISO Workshop.

Verwalten von verbundenen Mandanten

Stellen Sie sicher, dass Ihre Sicherheitsorganisation alle Registrierungen und zugeordneten Abonnements, die mit Ihrer vorhandenen Umgebung (über ExpressRoute oder Site-to-Site-VPN) verbunden sind, sowie die Überwachung als Teil des gesamten Unternehmens berücksichtigt.

Diese Azure-Ressourcen sind Teil Ihrer Unternehmensumgebung und müssen für Sicherheitsorganisationen sichtbar sein. Sicherheitsorganisationen benötigen diesen Zugriff, um das Risiko zu bewerten und festzustellen, ob Organisationsrichtlinien und geltende gesetzliche Anforderungen eingehalten werden.

Stellen Sie sicher, dass in allen Azure-Umgebungen, die mit Ihrer Produktionsumgebung/dem Netzwerk verbunden sind, die Richtlinien und IT-Governancekontrollen Ihrer Organisation für die Sicherheit angewendet werden. Mit einem von Microsoft bereitgestellten Tool können Sie vorhandene verbundene Mandanten ermitteln. Anleitungen zu Berechtigungen, die Sie der Sicherheit zuweisen können, finden Sie im Abschnitt Zuweisen von Berechtigungen zum Verwalten der Umgebung.

Eindeutige Verantwortlichkeitsbereiche

Festlegen der Parteien, die für bestimmte Funktionen in Azure verantwortlich sind

Die klare Dokumentation und Weitergabe der Kontakte, die für jede dieser Funktionen verantwortlichen sind, schafft Konsistenz und erleichtert die Kommunikation. Nach unseren Erfahrungen bei vielen Cloudeinführungsprojekten wird dadurch Verwirrung vermieden, die zu menschlichen und Automatisierungsfehlern führen kann, die ein Sicherheitsrisiko darstellen.

Legen Sie Gruppen (oder einzelne Rollen) fest, die für die folgenden Schlüsselfunktionen verantwortlich sind:

Gruppe oder einzelne Rolle Verantwortlichkeit
Netzwerksicherheit Üblicherweise das bestehende Netzwerksicherheitsteam. Konfiguration und Wartung von Azure Firewall, virtuellen Netzwerkgeräten (und zugehörigem Routing), WAFs, NSGs, ASGs usw.
Netzwerkverwaltung Üblicherweise das bestehende Netzwerkbetriebsteam. Unternehmensweite Zuordnung zu virtuellem Netzwerk und Subnetz.
Serverendpunktsicherheit Üblicherweise IT-Betriebsteam, Sicherheitsteam oder beides gemeinsam. Überwachen und Korrigieren der Serversicherheit (Patching, Konfiguration, Endpunktsicherheit usw.).
Überwachung und Reaktion auf Incidents Üblicherweise das Team für Sicherheitsvorgänge. Untersuchen und Beheben von Sicherheitsincidents in Security Information and Event Management (SIEM) oder der Quellkonsole.
Richtlinienverwaltung Üblicherweise GRC-Team und Architektur. Festlegen von Anweisungen für die Verwendung der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC), Azure Security Center, Administrator-Schutzstrategie und Azure Policy zum Steuern von Azure-Ressourcen.
Identitätssicherheit und -standards Üblicherweise Sicherheitsteam und Identitätsteam gemeinsam. Festlegen von Anweisungen für Azure AD-Verzeichnisse, PIM/PAM-Verwendung, MFA, Kennwort-/Synchronisierungskonfiguration, Anwendungsidentitätsstandards.

Strategie der Unternehmenssegmentierung

Ermitteln Sie Gruppen von Ressourcen, die von anderen Teilen des Unternehmens isoliert werden können, um Bewegungen von Angreifern innerhalb Ihres Unternehmens einzudämmen (und zu erkennen). Diese einheitliche Strategie der Unternehmenssegmentierung leitet alle technischen Teams zur einer konsistenten Segmentierung des Zugriffs mithilfe von Netzwerken, Anwendungen, Identitäten und anderen Zugriffssteuerungen an.

Eine klare und einfache Segmentierungsstrategie hilft, Risiken zu begrenzen, und ermöglicht gleichzeitig Produktivität und Geschäftsvorgänge.

Eine Strategie der Unternehmenssegmentierung wird auf höherer Ebene definiert als eine herkömmliche Sicherheitsstrategie der „Netzwerksegmentierung“ . Herkömmliche Segmentierungsansätze für lokale Umgebungen konnten ihre Ziele häufig nicht erreichen, da sie von verschiedenen technischen Teams „von unten nach oben“ entwickelt wurden und nicht gut auf geschäftliche Anwendungsfälle und Anwendungsworkloads abgestimmt waren. Dies führte zu übergroßer Komplexität, die Supportprobleme mit sich bringt und häufig den ursprünglichen Zweck durch weitreichende Ausnahmen bei der Netzwerkfirewall untergräbt.

Durch das Erstellen einer einheitlichen Strategie der Unternehmenssegmentierung kann diese allen beteiligten technischen Teams (IT, Sicherheit, Anwendungen usw.) als Vorgabe dienen. Geschäftseinheiten, die mit den geschäftlichen Risiken und Anforderungen in Zusammenhang stehen, sorgen für eine stärke Ausrichtung auf die Nachhaltigkeit der Sicherheitsversprechen und verstehen und unterstützen diese. Durch diese Klarheit und Ausrichtung wird auch das Risiko von menschlichen und Automatisierungsfehlern verringert, die zu Sicherheitsrisiken, Betriebsausfällen oder beidem führen können.

Zwar verspricht auch die Mikrosegmentierung des Netzwerks eine Reduzierung des Risikos (im Abschnitt Netzwerksicherheit und -kapselung ausführlicher erläutert), doch ist trotzdem eine Ausrichtung der technischen Teams erforderlich. Eine Mikrosegmentierung sollte in Betracht gezogen werden, nachdem die Ausrichtung der technischen Teams sichergestellt wurde, sodass ein Wiederauftreten der internen Konflikte sowie Verwirrung bei den Segmentierungsstrategien zur lokalen Netzwerkgenerierung vermieden werden können.

Nachfolgend sind Empfehlungen von Microsoft für die Priorisierung von Initiativen zur Kapselung und Segmentierung (basierend auf Zero Trust-Prinzipien) aufgeführt. Diese Empfehlungen sind in der Reihenfolge ihrer Priorität nach größter Bedeutung aufgelistet.

  • Stellen Sie die Ausrichtung von technischen Teams an einer einzelnen Strategie der Unternehmenssegmentierung sicher.

  • Investieren Sie in eine erweiterte Kapselung, indem Sie ein modernes Umfeld auf Grundlage von Zero Trust-Prinzipien mit Schwerpunkt auf Identität, Gerät, Anwendungen und anderen Signale erstellen (um die Einschränkung von Netzwerkkontrollen zum Schutz neuer Ressourcen und Angriffstypen zu umgehen).

  • Verstärken von Netzwerkkontrollen für Legacyanwendungen durch Erkunden von Strategien der Mikrosegmentierung.

Eine gute Strategie der Unternehmenssegmentierung erfüllt folgende Kriterien:

  • Ermöglicht Vorgänge: Minimiert Probleme bei Vorgängen durch Anpassung an Geschäftsmethoden und Anwendungen.

  • Dämmt Risiken ein: Steigert Kosten und Probleme für Angreifer auf folgende Weise:

    • Isolieren sensibler Workloads von der Gefährdung durch andere Ressourcen

    • Isolieren von Systemen mit hoher Verfügbarkeit von der Verwendung als Einstiegspunkt in andere Systeme

  • Überwacht: Sicherheitsvorgänge sollten auf potenzielle Verstöße gegen die Integrität der Segmente (Kontonutzung, unerwarteter Datenverkehr usw.) überwachen.

Screenshot einer automatisch generierten Beschreibung für ein Mobiltelefon

Transparenz für Sicherheitsteams

Bereitstellen von schreibgeschütztem Zugriff für Sicherheitsteams auf die Sicherheitsaspekte aller technischen Ressourcen im jeweiligen Zuständigkeitsbereich

Sicherheitsorganisationen benötigen Einblick in die technische Umgebung, um ihre Aufgaben der Bewertung und Berichterstellung zu Risiken für die Organisation zu erfüllen. Ohne diese Transparenz muss sich die Sicherheit auf Informationen von Gruppen stützen, die die Umgebung betreiben und einen potenziellen Interessenkonflikt (und andere Prioritäten) aufweisen.

Beachten Sie, dass Sicherheitsteams separat zusätzliche Berechtigungen erteilt werden können, wenn Sie operative Pflichten haben oder Compliance für Azure-Ressourcen erzwingen müssen.

Weisen Sie beispielsweise Sicherheitsteams in Azure die Berechtigung Sicherheitsleseberechtigte zu, die Zugriff auf das Messen des Sicherheitsrisikos bietet (ohne Zugriff auf die Daten selbst zu gewähren).

Für Sicherheitsgruppen im Unternehmen mit weitreichender Verantwortung für die Sicherheit von Azure können Sie diese Berechtigung auf folgende Arten zuweisen:

  • Stammverwaltungsgruppe: Für Teams, die für die Bewertung und Berichterstellung zu Risiken für alle Ressourcen zuständig sind.

  • Segmentverwaltungsgruppe(n) : Für Teams mit eingeschränktem Verantwortlichkeitsbereich (normalerweise aufgrund von Organisationsgrenzen oder gesetzlichen Anforderungen erforderlich).

Da die Sicherheit umfassenden Zugriff auf die Umgebung (und Einblick in potenziell ausnutzbare Sicherheitsrisiken) hat, sollten Sie sie als Konten mit potenziell kritischen Auswirkungen betrachten und dieselben Schutzmaßnahmen wie bei Administratoren anwenden. Diese Steuerelemente für Azure werden im Abschnitt Verwaltung ausführlich erläutert.

Zuweisen von Berechtigungen für das Verwalten der Umgebung

Gewähren Sie Rollen mit operativen Zuständigkeiten in Azure die entsprechenden Berechtigungen auf Grundlage einer klar dokumentierten Strategie, die auf dem Prinzip der geringsten Rechte und ihren betrieblichen Anforderungen basiert.

Das Bereitstellen klarer Richtlinien, die einem Referenzmodell folgen, verringert das Risiko, da sie Klarheit für die technischen Teams schaffen, die diese Berechtigungen implementieren. Diese Klarheit erleichtert das Erkennen und Korrigieren menschlicher Fehler, z.B. zu hohe Berechtigungen, und reduziert so das Gesamtrisiko.

Microsoft empfiehlt, mit diesen Microsoft-Referenzmodellen zu beginnen und sie an Ihre Organisation anzupassen.

Abbildung der Referenzberechtigungen für Kerndienste

Referenzberechtigungen für Kerndienste

Dieses Segment hostet gemeinsame Dienste, die in der gesamten Organisation verwendet werden. Diese gemeinsamen Dienste umfassen in der Regel Active Directory Domain Services, DNS/DHCP und Systemverwaltungstools, die auf virtuellen IaaS-Computern (Infrastructure-as-a-Service) gehostet werden.

Sicherheitstransparenz für alle Ressourcen: Gewähren Sie Sicherheitsteams den schreibgeschützten Zugriff auf Sicherheitsattribute für alle technischen Umgebungen. Diese Zugriffsebene ist erforderlich, um Risikofaktoren zu bewerten, potenzielle Gegenmaßnahmen zu erkennen und Beteiligte in der Organisation zu informieren, die das Risiko akzeptieren. Weitere Informationen finden Sie unter Transparenz für Sicherheitsteams.

Richtlinienverwaltung für einige oder alle Ressourcen: Zum Überwachen und Erzwingen von Compliance mit externen (oder internen) Vorschriften, Standards und Sicherheitsrichtlinien weisen Sie diesen Rollen entsprechende Berechtigungen zu. Welche Rollen und Berechtigungen Sie auswählen, richtet sich nach der Organisationskultur und den Erwartungen an das Richtlinienprogramm. Informationen finden Sie unter Framework für die Einführung der Microsoft Cloud (Microsoft Cloud Adoption Framework).

Zentrale IT-Vorgänge für alle Ressourcen: Erteilen Sie Berechtigungen für die zentrale IT-Abteilung (häufig das Infrastrukturteam) zum Erstellen, Ändern und Löschen von Ressourcen wie virtuellen Computern und Speicher.

Zentrale Netzwerkgruppe für alle Netzwerkressourcen: Um Konsistenz sicherzustellen und technische Konflikte zu vermeiden, weisen Sie die Zuständigkeit für Netzwerkressourcen einer einzelnen zentralen Netzwerkorganisation zu. Diese Ressourcen sollten virtuelle Netzwerke, Subnetze, Netzwerksicherheitsgruppen (NSG) und die virtuellen Computer umfassen, auf denen virtuelle Netzwerkgeräte gehostet werden. Weitere Informationen finden Sie unter Zentralisieren der Netzwerkverwaltung und -sicherheit.

Ressourcenrollenberechtigungen: Für die meisten Kerndienste werden Administratorrechte, die für die Verwaltung erforderlich sind, über die Anwendung selbst erteilt (Active Directory, DNS/DHCP, Systemverwaltungstools usw.), sodass keine zusätzlichen Azure-Ressourcenberechtigungen erforderlich sind. Wenn Ihr Organisationsmodell erfordert, dass diese Teams ihre eigenen VMs, den Speicher oder andere Azure-Ressourcen verwalten, können Sie diesen Rollen diese Berechtigungen zuweisen.

Dienstadministrator (Notfallkonto) : Verwenden Sie die Dienstadministratorrolle nur für Notfälle (und bei Bedarf für die anfängliche Einrichtung). Verwenden Sie diese Rolle nicht für alltägliche Aufgaben. Weitere Informationen finden Sie unter Notfallzugriff (Notfallkonten).

Screenshot einer automatisch generierten Beschreibung für ein Mobiltelefon

Segmentreferenzberechtigungen

Dieser Segmentberechtigungsentwurf bietet Konsistenz bei gleichzeitiger Flexibilität, um die Bandbreite der Organisationsmodelle von einer einzelnen zentralen IT-Gruppe bis hin zu weitgehend unabhängigen IT- und DevOps-Teams abzudecken.

Sicherheitstransparenz für alle Ressourcen: Gewähren Sie Sicherheitsteams den schreibgeschützten Zugriff auf Sicherheitsattribute für alle technischen Umgebungen. Diese Zugriffsebene ist erforderlich, um Risikofaktoren zu bewerten, potenzielle Gegenmaßnahmen zu erkennen und Beteiligte in der Organisation zu informieren, die das Risiko akzeptieren. Informationen finden Sie unter Transparenz für Sicherheitsteams.

Richtlinienverwaltung für einige oder alle Ressourcen: Zum Überwachen und Erzwingen von Compliance mit externen (oder internen) Vorschriften, Standards und Sicherheitsrichtlinien weisen Sie diesen Rollen entsprechende Berechtigungen zu. Welche Rollen und Berechtigungen Sie auswählen, richtet sich nach der Organisationskultur und den Erwartungen an das Richtlinienprogramm. Informationen finden Sie unter Framework für die Einführung der Microsoft Cloud (Microsoft Cloud Adoption Framework).

IT-Vorgänge für alle Ressourcen: Erteilen Sie die Berechtigung zum Erstellen, Ändern und Löschen von Ressourcen. Der Zweck des Segments (und die resultierenden Berechtigungen) hängt von ihrer Organisationsstruktur ab.

  • Segmente mit Ressourcen, die von einer zentralen IT-Organisation verwaltet werden, können der zentralen IT-Abteilung (häufig das Infrastrukturteam) die Berechtigung zum Ändern dieser Ressourcen erteilen.

  • Segmente, die von unabhängigen Geschäftseinheiten oder -funktionen (z.B. einem Personal-IT-Team) verwaltet werden, können diesen Teams die Berechtigung für alle Ressourcen im Segment erteilen.

  • Segmente mit autonomen DevOps-Teams müssen keine Berechtigungen für alle Ressourcen erteilen, da die Ressourcenrolle (unten) Berechtigungen für Anwendungsteams erteilt. Verwenden Sie für Notfälle das Dienstadministratorkonto (Notfallkonto).

Zentrale Netzwerkgruppe für alle Netzwerkressourcen: Um Konsistenz sicherzustellen und technische Konflikte zu vermeiden, weisen Sie die Zuständigkeit für Netzwerkressourcen einer einzelnen zentralen Netzwerkorganisation zu. Diese Ressourcen sollten virtuelle Netzwerke, Subnetze, Netzwerksicherheitsgruppen (NSG) und die virtuellen Computer umfassen, auf denen virtuelle Netzwerkgeräte gehostet werden. Informationen finden Sie unter Zentralisieren der Netzwerkverwaltung und -sicherheit.

Ressourcenrollenberechtigungen: Segmente mit autonomen DevOps-Teams verwalten die Ressourcen, die den einzelnen Anwendungen zugeordnet sind. Die tatsächlichen Rollen und ihre Berechtigungen hängen von der Größe und Komplexität der Anwendung, der Größe und Komplexität des Anwendungsteams sowie der Kultur der Organisation und des Anwendungsteams ab.

Dienstadministrator (Notfallkonto) : Verwenden Sie die Dienstadministratorrolle nur für Notfälle (und bei Bedarf für die anfängliche Einrichtung). Verwenden Sie diese Rolle nicht für alltägliche Aufgaben. Weitere Informationen finden Sie unter Notfallzugriff (Notfallkonten).

Leitfaden und Tipps zu Berechtigungen

  • Um die Konsistenz zu erhöhen und die Anwendung auf zukünftige Abonnements sicherzustellen, sollten Berechtigungen in der Verwaltungsgruppe für das Segment und nicht für die einzelnen Abonnements zugewiesen werden. Weitere Informationen finden Sie unter Vermeiden differenzierter und benutzerdefinierter Berechtigungen.

  • Zuerst sollten Sie die integrierten Rollen überprüfen, um festzustellen, ob eine davon anwendbar ist, bevor Sie eine benutzerdefinierte Rolle erstellen, um VMs und anderen Objekten die geeigneten Berechtigungen zu erteilen. Weitere Informationen finden Sie unter Verwenden integrierter Rollen.

  • Eine Mitgliedschaft in der Gruppe Sicherheits-Manager kann für kleinere Teams/Organisationen geeignet sein, in denen Sicherheitsteams über umfassende operative Zuständigkeiten verfügen.

Einrichten der Segmentierung mit Verwaltungsgruppen

Strukturieren Sie Verwaltungsgruppen in einem einfachen Entwurf, der das Unternehmenssegmentierungsmodell steuert.

Verwaltungsgruppen bieten die Möglichkeit einer konsistenten und effizienten Verwaltung von Ressourcen (einschließlich mehrerer Abonnements nach Bedarf). Aufgrund ihrer Flexibilität ist es jedoch möglich, dass ein übermäßig komplexer Entwurf erstellt wird. Komplexität sorgt für Verwirrung und wirkt sich negativ auf die Vorgänge und die Sicherheit aus (wie es sich bei übermäßig komplexen Entwürfen mit Organisationseinheiten und Gruppenrichtlinienobjekten für Active Directory gezeigt hat).

Microsoft empfiehlt die Ausrichtung der obersten Verwaltungsgruppen an einer einfachen Strategie der Unternehmenssegmentierung, die auf ein oder zwei Ebenen beschränkt ist.

Sorgfältiges Verwenden der Stammverwaltungsgruppe

Verwenden Sie die Stammverwaltungsgruppe für Unternehmenskonsistenz, doch testen Sie Änderungen sorgfältig, um das Risiko einer Betriebsunterbrechung zu minimieren.

Mit der Stammverwaltungsgruppe können Sie Konsistenz im gesamten Unternehmen sicherstellen, indem Richtlinien, Berechtigungen und Tags für alle Abonnements angewendet werden. Beim Planen und Implementieren von Zuweisungen zur Stammverwaltungsgruppe ist jedoch Vorsicht geboten, da dies alle Ressourcen in Azure betreffen und im Falle von Fehlern oder unerwarteten Auswirkungen Ausfallzeiten oder andere negative Folgen für die Produktivität haben kann.

Leitfaden für die Stammverwaltungsgruppe:

  • Sorgfältig planen: Wählen Sie unternehmensweite Elemente für die Stammverwaltungsgruppe aus, bei denen die eindeutige Anforderung besteht, sie auf jede Ressource anzuwenden, und/oder die geringe Auswirkungen haben.

    Geeignet sind:

    • Gesetzliche Anforderungen mit eindeutigen geschäftlichen Risiken/Auswirkungen (z.B. Einschränkungen im Zusammenhang mit der Datenhoheit)

    • Anforderungen mit nahezu keinen potenziellen negativen Auswirkungen auf den Betrieb wie Richtlinien mit der Auswirkung „audit“, Tagzuweisungen oder Zuweisungen von RBAC-Berechtigungen, die sorgfältig geprüft wurden

  • Zuerst testen: Testen Sie alle unternehmensweiten Änderungen an der Stammverwaltungsgruppe vor der Anwendung sehr sorgfältig (Richtlinie, Tags, RBAC-Modell usw.) mit Folgendem:

    • Test Lab: Repräsentativer Lab-Mandant oder Lab-Segment im Produktionsmandanten

    • Pilotbereich für die Produktion: Segmentierte Verwaltungsgruppe oder festgelegte Teilmenge in Abonnement(s)/Verwaltungsgruppe

  • Änderungen überprüfen: Stellen Sie sicher, dass die Änderungen die gewünschte Auswirkung haben.

Sicherheitsupdates für virtuelle Computer (VM) und sichere Kennwörter

Stellen Sie sicher, dass Richtlinien und Prozesse eine schnelle Anwendung von Sicherheitsupdates auf virtuelle Computer ermöglichen (und erfordern).

Angreifer scannen ständig öffentliche Cloud-IP-Adressbereiche nach offenen Verwaltungsports und probieren „einfache“ Angriffe mittels häufig verwendeter Kennwörter und ungepatchter Sicherheitslücken.

Aktivieren Sie Azure Security Center, um fehlende Sicherheitsupdates zu erkennen und anzuwenden.

Local Admin Password Solution (LAPS) oder eine Privileged Access Management-Lösung von Drittanbietern kann sichere lokale Administratorkennwörter festlegen und den JIT-Zugriff (Just-In-Time) auf sie ermöglichen.

Aufheben der direkten Internetverbindung von virtuellen Computern (VM)

Stellen Sie sicher, dass Richtlinien und Prozesse eine Einschränkung und Überwachung direkter Internetverbindungen von virtuellen Computern erfordern.

Angreifer scannen ständig öffentliche Cloud-IP-Adressbereiche nach offenen Verwaltungsports und probieren „einfache“ Angriffe mittels häufig verwendeter Kennwörter und bekannter ungepatchter Sicherheitslücken.

Dies kann in Azure mit einer oder mehreren Methoden erreicht werden:

  • Unternehmensweite Vorbeugung: Verhindern Sie eine unbeabsichtigte Offenlegung mit einem Unternehmensnetzwerk und einem Berechtigungsmodell wie dem in diesem Leitfaden beschriebenen Referenzmodell. Dadurch wird das Risiko der versehentlichen Offenlegung eines virtuellen Computers im Internet durch Folgendes wesentlich reduziert:

    • Sicherstellung, dass der Netzwerkdatenverkehr standardmäßig über genehmigte Ausgangspunkte weitergeleitet wird

    • Ausnahmen (z.B. Hinzufügen einer öffentlichen IP-Adresse zu einer Ressource) müssen eine zentrale Gruppe durchlaufen (die Ausnahmeanforderungen sorgfältig auswerten kann, um sicherzustellen, dass entsprechende Kontrollen angewendet werden)

  • Erkennen und Beheben offengelegter virtueller Computer mithilfe der Netzwerkvisualisierung in Azure Security Center, um schnell im Internet offengelegte Ressourcen zu erkennen

  • Einschränken von Verwaltungsports (RDP, SSH ) mithilfe von Just-In-Time-Zugriff in Azure Security Center

Zuweisen eines Kontakts für Benachrichtigungen über Incidents

Stellen Sie sicher, dass ein Sicherheitskontakt Benachrichtigungen über Azure-Incidents von Microsoft empfängt. Dies ist in der Regel eine Benachrichtigung, dass Ihre Ressource gefährdet ist und/oder einen anderen Kunden angreift.

Dadurch kann Ihr Team für Sicherheitsvorgänge schnell auf potenzielle Sicherheitsrisiken reagieren und diese beheben.

Stellen Sie sicher, dass die Kontaktinformationen des Administrators im Azure-Registrierungsportal Kontaktinformationen enthalten, durch die das Team für Sicherheitsvorgänge (direkt oder schnell über einen internen Prozess) benachrichtigt wird.

Regelmäßiges Überprüfen des kritischen Zugriffs

Überprüfen Sie regelmäßig die Rollen, denen Berechtigungen mit geschäftskritischer Auswirkung zugewiesen sind.

Richten Sie ein wiederkehrendes Überprüfungsmuster ein, um sicherzustellen, dass Konten beim Ändern von Rollen aus Berechtigungen entfernt werden. Sie können die Überprüfung manuell oder über einen automatisierten Prozess mithilfe von Tools wie Azure AD-Zugriffsüberprüfungen durchführen.

Erkennen und Beheben allgemeiner Risiken

Ermitteln Sie bekannte Risiken für Ihre Azure-Mandanten, beheben Sie diese Risiken, und verfolgen Sie Ihren Fortschritt mithilfe von Secure Score.

Durch das Ermitteln und Beheben allgemeiner Sicherheitsrisiken wird das Gesamtrisiko für Ihre Organisation wesentlich verringert, da die Kosten für Angreifer steigen. Wenn Sie kostengünstige und bestens bekannte Angriffsvektoren entfernen, sind Angreifer gezwungen, erweiterte oder nicht getestete Angriffsmethoden zu erwerben und zu verwenden.

Azure Secure Score in Azure Security Center überwacht den Sicherheitsstatus von Computern, Netzwerken, Speicher- und Datendiensten sowie Anwendungen, um potenzielle Sicherheitsprobleme zu ermitteln (mit dem Internet verbundene VMs oder fehlende Sicherheitsupdates, fehlender Endpunktschutz oder Endpunktverschlüsselung, Abweichungen von grundlegenden Sicherheitskonfigurationen, fehlende Web Application Firewall (WAF) und mehr). Sie sollten diese Funktion aktivieren (keine zusätzlichen Kosten), die Ergebnisse überprüfen und die enthaltenen Empfehlungen befolgen, um technische Behebungsmaßnahmen zu planen und auszuführen, beginnend mit den Elementen mit der höchsten Priorität.

Beim Beheben von Risiken können Sie den Fortschritt nachverfolgen und laufende Investitionen in Ihre Governance- und Risikominderungsprogramme priorisieren.

Steigern der Automatisierung mit Azure Blueprints

Verwenden Sie die systemeigenen Automatisierungsfunktionen von Azure, um Konsistenz, Compliance und Bereitstellungsgeschwindigkeit für Workloads zu erhöhen.

Durch die Automatisierung von Bereitstellungs- und Wartungsaufgaben werden Sicherheits- und Compliancerisiken reduziert, indem die Möglichkeit menschlicher Fehler bei manuellen Aufgaben eingeschränkt wird. Dadurch können sowohl IT-Betriebsteams als auch Sicherheitsteams ihren Schwerpunkt von wiederholten manuellen Aufgaben auf höherwertige Aufgaben verlagern, wie z.B. das Ermöglichen von Entwickler- und Geschäftsinitiativen, das Schützen von Informationen usw.

Verwenden Sie den Azure Blueprint-Dienst, um Anwendungsumgebungen, die den Richtlinien Ihrer Organisation und externen Vorschriften entsprechen, schnell und konsistent bereitzustellen. Der Azure Blueprint-Dienst automatisiert die Bereitstellung von Umgebungen, einschließlich RBAC-Rollen, Richtlinien, Ressourcen (VM/Netzwerk/Speicher/usw.) und mehr. Azure Blueprints basiert auf der beträchtlichen Investition von Microsoft in Azure Resource Manager, um die Ressourcenbereitstellung in Azure zu standardisieren und die Ressourcenbereitstellung und -kontrolle auf Grundlage eines gewünschten Zustands zu ermöglichen. Sie können integrierte Konfigurationen in Azure Blueprint verwenden, eigene erstellen oder einfach Resource Manager-Skripts für einen kleineren Bereich verwenden.

Es stehen mehrere Beispiele für Blaupausen zu Sicherheit und Compliance als Startvorlagen zur Verfügung.

Bewerten der Sicherheit mithilfe von Benchmarks

Verwenden Sie einen Benchmark gemäß Branchenstandard, um den aktuellen Sicherheitsstatus Ihrer Organisation zu bewerten.

Mithilfe von Benchmarktests können Sie Ihr Sicherheitsprogramm verbessern, indem Sie von externen Organisationen lernen. Durch Benchmarktests erfahren Sie, wie sich Ihr aktueller Sicherheitsstatus im Vergleich zu anderen Organisationen darstellt, indem sowohl eine externe Überprüfung erfolgreicher Elemente Ihres aktuellen Systems bereitgestellt wird als auch eine Erkennung von Lücken, die als Möglichkeiten zur Erweiterung der gesamten Sicherheitsstrategie Ihres Teams dienen. Auch wenn Ihr Sicherheitsprogramm nicht an einen bestimmten Benchmark oder gesetzlichen Standard gebunden ist, profitieren Sie vom Verständnis der dokumentierten Idealzustände außerhalb und innerhalb Ihrer Branche.

  • Beispielsweise hat das Center for Internet Security (CIS) Sicherheitsbenchmarks für Azure erstellt, die dem CIS Control Framework zugeordnet sind. Ein weiteres Referenzbeispiel ist das MITRE ATT&CK™-Framework, das die verschiedenen Taktiken und Techniken von Angreifern basierend auf realen Beobachtungen definiert. Diese Zuordnungen externer Referenzkontrollen helfen Ihnen, etwaige Lücken zwischen Ihrer aktuellen Strategie und der anderer Experten in der Branche zu verstehen.

Überprüfen und Erzwingen von Richtlinienkonformität

Stellen Sie sicher, dass das Sicherheitsteam die Umgebung überprüft, um über die Konformität mit der Sicherheitsrichtlinie Ihrer Organisation zu berichten. Sicherheitsteams können die Konformität mit diesen Richtlinien auch erzwingen.

Organisationen aller Größen weisen Anforderungen in Hinsicht auf die Sicherheitskonformität auf. Sicherheitsrichtlinien der Branche, von Behörden sowie interne Sicherheitsrichtlinien des Unternehmens müssen alle überprüft und erzwungen werden. Eine Richtlinienüberwachung ist wichtig, um zu prüfen, ob die anfänglichen Konfigurationen korrekt sind und deren Konformität im zeitlichen Verlauf gewahrt bleibt.

In Azure können Sie Azure Policy verwenden, um Richtlinien zu erstellen und zu verwalten, die Konformität erzwingen. Wie Azure Blueprints basiert auch Azure Policy auf den zugrunde liegenden Azure Resource Manager-Funktionen der Azure-Plattform (und Azure Policy kann auch über Azure Blueprints zugewiesen werden).

Weitere Informationen zur Vorgehensweise in Azure finden Sie im Tutorial: Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung.

Überwachen des Identitätsrisikos

Überwachen Sie identitätsbezogene Risikoereignisse auf Warnungen zu potenziell gefährdeten Identitäten, und beheben Sie diese Risiken.

Die meisten Sicherheitsincidents finden statt, nachdem ein Angreifer zunächst mit einer gestohlenen Identität Zugriff erhalten hat. Diese Identitäten können anfänglich oft niedrige Berechtigungen aufweisen, doch verwenden die Angreifer die Identität dann, um Zugriff auf Identitäten mit höheren Berechtigungen zu erhalten. Dies wird so lange wiederholt, bis der Angreifer den Zugriff auf die letztendlichen Zieldaten oder -systeme kontroliert.

Azure Active Directory verwendet adaptive Machine Learning-Algorithmen, Heuristiken und bekannte kompromittierte Anmeldeinformationen (Kombinationen aus Benutzername/Kennwort), um verdächtige Aktivitäten im Zusammenhang mit Ihren Benutzerkonten zu erkennen. Diese Kombinationen aus Benutzername/Kennwort stammen aus der Überwachung von öffentlichen und Dark Web-Websites (wo Angreifer oft kompromittierte Kennwörter ablegen) und der Zusammenarbeit mit Sicherheitsexperten, Strafverfolgungsbehörden, Sicherheitsteams bei Microsoft und anderen.

Es gibt zwei Bereiche, in denen Sie gemeldete Risikoereignisse überprüfen:

Darüber hinaus können Sie die API für Identity Protection-Risikoereignisse verwenden, um programmgesteuerten Zugriff auf Sicherheitserkennungen über Microsoft Graph zu erhalten.

Beheben Sie diese Risiken, indem Sie jedes gemeldete Konto manuell behandeln oder indem Sie eine Richtlinie zum Benutzerrisiko einrichten, um eine Kennwortänderung für diese Ereignisse mit hohem Risiko anzufordern.

Penetrationstests

Verwenden Sie Penetrationstests zum Überprüfen von Abwehrmaßnahmen.

Eine reale Überprüfung von Abwehrmaßnahmen ist wichtig, um Ihre Verteidigungsstrategie und -implementierung zu überprüfen. Dies kann durch einen Penetrationstest (simuliert einen einmaligen Angriff) oder ein Red Team-Programm (simuliert einen permanenten Angreifer, der Ihre Umgebung zum Ziel hat) erreicht werden.

Folgen Sie dem von Microsoft veröffentlichten Leitfaden für die Planung und Ausführung simulierter Angriffe.

Ermitteln und Ersetzen unsicherer Protokolle

Ermitteln und deaktivieren Sie die Verwendung von unsicheren Legacyprotokollen wie SMBv1, LM/NTLMv1, WDigest, nicht signierte LDAP-Bindungen und schwache Chiffren in Kerberos.

Authentifizierungsprotokolle bilden eine wichtige Grundlage für fast alle Sicherheitsgewährleistungen. Diese älteren Versionen können von Angreifern mit Zugriff auf Ihr Netzwerk genutzt werden und finden häufig auf Legacysystemen in IaaS (Infrastructure-as-a-Service) in großem Umfang Verwendung.

Sie haben folgende Möglichkeiten, um das Risiko zu verringern:

  • Ermitteln der Protokollnutzung durch Überprüfen von Protokollen mit dem Dashboard für unsichere Protokolle in Azure Sentinel oder mit Tools von Drittanbietern

  • Einschränken oder Deaktivieren der Verwendung dieser Protokolle anhand der Anweisungen für SMB, NTLM, WDigest

Es wird empfohlen, Änderungen mithilfe der Pilot- oder einer anderen Testmethode zu implementieren, um das Risiko einer Betriebsunterbrechung zu verringern.

Erhöhte Sicherheitsfunktionen

Ziehen Sie die Verwendung spezieller Sicherheitsfunktionen in ihrer Unternehmensarchitektur in Betracht.

Diese Maßnahmen bieten die Möglichkeit, die Sicherheit zu erhöhen und gesetzliche Anforderungen zu erfüllen, können aber auch zu Komplexität führen, die sich negativ auf Vorgänge und Effizienz auswirkt.

Es wird empfohlen, diese Sicherheitsmaßnahmen sorgfältig abzuwägen und gegebenenfalls sinnvoll einzusetzen:

Nächste Schritte

Weitere Sicherheitsempfehlungen von Microsoft finden Sie in der Microsoft-Sicherheitsdokumentation.