Netzwerksicherheit und -kapselungNetwork security and containment

Netzwerksicherheit ist seit jeher der traditionelle Dreh- und Angelpunkt der Sicherheitsmaßnahmen von Unternehmen.Network security has been the traditional lynchpin of enterprise security efforts. Cloud Computing hat jedoch die Anforderung erhöht, dass die Netzwerkperimeter durchlässiger sein müssen, und viele Angreifer beherrschen die Kunst der Angriffe auf Identitätssystemelemente (die fast immer Netzwerkkontrollen umgehen).However, cloud computing has increased the requirement for network perimeters to be more porous and many attackers have mastered the art of attacks on identity system elements (which nearly always bypass network controls). Durch diese Faktoren ist die Notwendigkeit gestiegen, sich in erster Linie auf identitätsbasierte Zugangskontrollen zum Schutz der Ressourcen zu konzentrieren und nicht auf netzwerkbasierte Zugangskontrollen.These factors have increased the need to focus primarily on identity-based access controls to protect resources rather than network-based access controls.

Diese schmälern die Rolle der Netzwerksicherheitskontrollen, beseitigen sie aber nicht vollständig.These do diminish the role of network security controls, but do not eliminate it entirely. Während die Netzwerksicherheit nicht mehr im Vordergrund der Sicherung von cloudbasierten Ressourcen steht, hat sie für das große Portfolio an Legacyressourcen (die unter der Annahme erstellt wurden, dass ein netzwerkbasierter Sicherheitsperimeter mit Firewall vorhanden ist) weiterhin höchste Priorität.While network security is no longer the primary focus for securing cloud-based assets, it is still a top priority for the large portfolio of legacy assets (which were built with the assumption that a network firewall-based perimeter was in place). Viele Angreifer setzen immer noch Scan- und Exploit-Methoden in allen IP-Bereichen von öffentlichen Cloudanbietern ein und durchdringen erfolgreich die Verteidigung bei den Anbietern, die sich nicht an grundlegende Maßnahmen der Netzwerksicherheit halten.Many attackers still employ scanning and exploit methods across public cloud provider IP ranges, successfully penetrating defenses for those who don’t follow basic network security hygiene. Netzwerksicherheitskontrollen stellen auch ein tief greifendes Element Ihrer Strategie dar, das dazu beiträgt, sich vor Angreifern zu schützen, die in Ihre Cloudbereitstellungen eindringen, diese zu erkennen, einzudämmen und abzuwehren.Network security controls also provide a defense-in-depth element to your strategy that help protect, detect, contain, and eject attackers who make their way into your cloud deployments.

In der Kategorie Netzwerksicherheit und -kapselung sprechen wir die folgenden Empfehlungen für bewährte Methoden aus:In the category of network security and containment, we have the following best practice recommendations:

  • Ausrichten der Netzwerksegmentierung an der allgemeinen StrategieAlign network segmentation with overall strategy

  • Zentralisieren der Netzwerkverwaltung und -sicherheitCentralize network management and security

  • Erstellen einer Strategie für die Kapselung des NetzwerksBuild a network containment strategy

  • Definieren einer InternetstrategieDefine an internet edge strategy

Zentralisieren der Netzwerkverwaltung und -sicherheitCentralize network management and security

Zentralisieren Sie die organisatorische Verantwortung für die Verwaltung und Sicherheit von Netzwerkkernfunktionen wie standortübergreifende Verbindungen, virtuelle Netzwerke, Subnetze und IP-Adressen sowie für Netzwerksicherheitselemente wie virtuelle Netzwerkgeräte, Verschlüsselung von virtuellen Cloudnetzwerkaktivitäten und standortübergreifendem Datenverkehr, netzwerkbasierte Zugangskontrollen und andere traditionelle Netzwerksicherheitskomponenten.Centralize the organizational responsibility for management and security of core networking functions such as cross-premises links, virtual networking, subnetting, and IP address schemes as well as network security elements such as virtual network appliances, encryption of cloud virtual network activity and cross-premises traffic, network-based access controls, and other traditional network security components.

Wenn Sie die Netzwerkverwaltung und -sicherheit zentralisieren, verringern Sie das Potenzial für inkonsistente Strategien, die zu potenziellen Sicherheitsrisiken führen können, die Angreifer ggf. ausnutzen.When you centralize network management and security you reduce the potential for inconsistent strategies that can create potential attacker exploitable security risks. Da nicht alle Bereiche der IT- und Entwicklungsorganisationen über das gleiche Wissen und die gleiche Komplexität im Bereich Netzwerkverwaltung und Sicherheit verfügen, profitieren Unternehmen von der Nutzung der Expertise und der Tools eines zentralisierten Netzwerkteams.Because all divisions of the IT and development organizations do not have the same level of network management and security knowledge and sophistication, organizations benefit from leveraging a centralized network team’s expertise and tooling.

Azure Security Center kann verwendet werden, um die Verwaltung der Netzwerksicherheit zu zentralisieren.Azure Security Center can be used to help centralize the management of network security.

Ausrichten der Netzwerksegmentierung an der Segmentierungsstrategie des UnternehmensAlign network segmentation with enterprise segmentation strategy

Richten Sie Ihr Netzwerksegmentierungsmodell am Unternehmenssegmentierungsmodell für Ihre Organisation aus (definiert im Abschnitt „Governance, Risiko und Compliance“).Align your network segmentation model with the enterprise segmentation model for your organization (defined in Governance, Risk, and Compliance section).

Dies wird Verwirrung und daraus resultierende Herausforderungen verringern, weil verschiedene technische Teams (Netzwerke, Identitäten, Anwendungen usw.) nicht jeweils eigene Segmentierungs- und Delegationsmodelle entwickeln, die nicht aufeinander abgestimmt sind.This will reduce confusion and resulting challenges with different technical teams (networking, identity, applications, etc.) each developing their own segmentation and delegation models that don’t align with each other. Dies führt zu einer einfachen und einheitlichen Sicherheitsstrategie, die dazu beiträgt, die Anzahl der Fehler aufgrund von menschlichen Fehlern zu verringern und die Zuverlässigkeit durch Automatisierung zu erhöhen.This leads to a straightforward and unified security strategy, which helps reduce the number of errors due to human error and inability to increase reliability through automation.

Vergleichen Sie die Abbildungen unter Netzwerksicherheit und -kapselung.Please compare images in Network security and containment.

Abbildung der Hybrid Cloud Infrastruktur-Netzwerkarchitektur

Weiterentwicklung der Sicherheit über Netzwerkkontrollen hinausEvolve security beyond network controls

Stellen Sie sicher, dass technische Kontrollen Bedrohungen außerhalb der von Ihnen kontrollierten Netzwerke wirksam verhindern, erkennen und darauf reagieren können.Ensure technical controls can effectively prevent, detect, and respond to threats outside the networks you control.

Im Zuge der Umstellung auf moderne Architekturen werden viele Dienste und Komponenten, die für Anwendungen benötigt werden, über das Internet oder in Cloudanbieternetzwerken abgerufen, oft über mobile und andere Geräte außerhalb des Netzwerks.As organizations shift to modern architectures, many services and components required for applications will be accessed over the internet or on cloud provider networks, often by mobile and other devices off the network. Herkömmliche Netzwerkkontrollen, die auf einem Ansatz „vertrauenswürdiges Intranet“ basieren, können für diese Anwendungen keine wirksamen Sicherheitsgarantien bieten.Traditional network controls based on a “trusted intranet” approach will not be able to effectively provide security assurances for these applications. Diese sich wandelnde Landschaft wird durch Prinzipien gut erfasst, die durch die Ansätze Jericho Forum und „Zero Trust“ beschrieben werden.This shifting landscape is captured well by principles documented by the Jericho Forum and ‘Zero Trust’ approaches.

Erstellen Sie eine Strategie zur Risikominderung, die auf einer Kombination aus Netzwerkkontrollen und Anwendungs-, Identitäts- und anderen Steuerungstypen basiert.Build a risk containment strategy based on a combination of network controls and application, identity, and other control types.

  • Stellen Sie sicher, dass die Ressourcengruppierung und die administrativen Berechtigungen auf das Segmentierungsmodell abgestimmt sind (siehe Abbildung XXXX).Ensure that resource grouping and administrative privileges align to the segmentation model (see figure XXXX)

  • Stellen Sie sicher, dass Sie Sicherheitskontrollen entwerfen, mit denen erwarteter Datenverkehr, Zugriffsanforderungen und andere Anwendungskommunikation zwischen Segmenten identifiziert und zugelassen werden.Ensure you are designing security controls that identify and allow expected traffic, access requests, and other application communications between segments. Überwachen Sie die Kommunikation zwischen den Segmenten, um unerwartete Kommunikation zu identifizieren, sodass Sie untersuchen können, ob Sie Warnungen einrichten oder den Datenverkehr blockieren sollten, um das Risiko zu minimieren, dass Angreifer Segmentierungsgrenzen überschreiten.Monitor communications between segments to identify on any unexpected communications so you can investigate whether to set alerts or block traffic to mitigate risk of adversaries crossing segmentation boundaries.

Erstellen einer SicherheitskapselungsstrategieBuild a security containment strategy

Erstellen Sie eine Risikokapselungsstrategie, die bewährte Ansätze umfasst, beispielsweise:Create a risk containment strategy that blends proven approaches including:

  • Vorhandene Netzwerksicherheitskontrollen und VorgehensweisenExisting network security controls and practices

  • In Azure verfügbare native SicherheitskontrollenNative security controls available in Azure

  • Zero Trust-AnsätzeZero trust approaches

Die Kapselung von Angriffsvektoren in einer Umgebung ist wichtig.Containment of attack vectors within an environment is critical. Um jedoch in Cloudumgebungen wirkungsvoll zu sein, können herkömmliche Ansätze sich als unzureichend erweisen, und Sicherheitsorganisationen müssen ihre Methoden weiterentwickeln.However, in order to be effective in cloud environments, traditional approaches may prove inadequate and security organizations need to evolve their methods.

  • Die Konsistenz der Kontrollen vor Ort und in der Cloudinfrastruktur ist wichtig, aber die Verteidigung ist effektiver und kontrollierbarer, wenn sie die nativen Funktionen eines Cloud-Dienstanbieters, dynamische JIT-Ansätze (Just-In-Time) und integrierte Identitäts- und Kennwortkontrollen nutzt, wie sie von Zero Trust-/Continuous Validation-Ansätzen empfohlen werden.Consistency of controls across on-premises and cloud infrastructure is important, but defenses are more effective and manageable when leveraging native capabilities provided by a cloud service provider, dynamic just-in-time (JIT) approaches, and integrated identity and password controls, such as those recommended by zero trust/continuous validation approaches.

  • Eine bewährte Methode zur Netzwerksicherheit besteht in der Sicherstellung, dass es Kontrollen des Netzwerkzugriffs zwischen Netzwerkkonstrukten gibt.A network security best practice is to make sure there are network access controls between network constructs. Diese Konstrukte können virtuelle Netzwerke oder Subnetze in diesen virtuellen Netzwerken darstellen.These constructs can represent virtual networks, or subnets within those virtual networks. Dies dient dem Schutz und der Übermittlung von Ost-West-Datenverkehr in der Cloud-Netzwerkinfrastruktur.This works to protect and contain East-West traffic within your cloud network infrastructure.

  • Eine wichtige Entwurfsentscheidung für Netzwerksicherheit besteht darin, ob hostbasierte Firewalls verwendet werden sollen.An important network security design decision is to use or not use host-based firewalls. Hostbasierte Firewalls unterstützen eine umfassende und tief greifende Verteidigungsstrategie.Host-based firewalls support a comprehensive defense in-depth strategy. Um jedoch den größten Nutzen zu erzielen, erfordern sie einen erheblichen Verwaltungsaufwand.However, to be of most use they require significant management overhead. Wenn Ihr Unternehmen sie in der Vergangenheit für wirksam befunden hat, um Sie beim Schutz vor und dem Aufdecken von Bedrohungen zu unterstützen, sollten Sie sie für Ihre cloudbasierten Ressourcen verwenden.If your organization has found them effective in helping you protect and discover threats in the past, you might consider using them for your cloud-based assets. Wenn Sie feststellen, dass sie keinen signifikanten Mehrwert erbracht haben, stellen Sie die Nutzung ein und erkunden native Lösungen auf der Plattform Ihres Cloud-Dienstanbieters, die einen ähnlichen Nutzen bieten.If you discover that they have not added significant value, discontinue their use and explore native solutions on your cloud service provider’s platform that deliver similar value.

Eine sich entwickelnde Empfehlung für bewährte Methoden ist die Einführung einer Zero Trust-Strategie, die auf Benutzer-, Geräte- und Anwendungsidentitäten basiert.An evolving emerging best practice recommendation is to adopt a Zero Trust strategy based on user, device, and application identities. Im Gegensatz zu Netzwerkzugangskontrollen, die auf Elementen basieren (z.B. auf einer IP-Quell-und -Zieladresse, Protokollen und Portnummern) erzwingt und überprüft Zero Trust die Zugangskontrolle zur „Zugriffszeit“.In contrast to network access controls that are based on elements such as source and destination IP address, protocols, and port numbers, Zero Trust enforces and validates access control at “access time”. Dadurch entfällt die Notwendigkeit, ein „Vorhersagespiel“ für eine gesamte Bereitstellung, ein Netzwerk oder ein Subnetz zu betreiben – nur die Zielressource muss die erforderlichen Zugangskontrollen bereitstellen.This avoids the need to play a prediction game for an entire deployment, network, or subnet – only the destination resource needs to provide the necessary access controls.

  • Azure-Netzwerksicherheitsgruppen können für Zugangskontrollen der Basisebenen 3 und 4 zwischen Azure Virtual Networks, Subnetzen und dem Internet verwendet werden.Azure Network Security Groups can be used for basic layer 3 & 4 access controls between Azure Virtual Networks, their subnets, and the Internet.

  • Azure Web Application Firewall und Azure Firewall können für erweiterte Netzwerkzugangskontrollen verwendet werden, die Unterstützung auf Anwendungsebene erfordern.Azure Web Application Firewall and the Azure Firewall can be used for more advanced network access controls that require application layer support.

  • Local Admin Password Solution (LAPS) oder eine Privileged Access Management-Lösung von Drittanbietern kann sichere lokale Administratorkennwörter festlegen und den JIT-Zugriff (Just-In-Time) auf sie ermöglichen.Local Admin Password Solution (LAPS) or a third-party Privileged Access Management can set strong local admin passwords and just in time access to them

Darüber hinaus bieten Drittanbieter Lösungen mit Mikrosegmentierung an, die Ihre Netzwerkkontrolle verbessern können, indem sie Zero Trust-Prinzipien auf Netzwerke anwenden, die Legacyressourcen enthalten.Additionally, third parties offer microsegmentation approaches that may enhance your network controls by applying zero trust principles to networks you control with legacy assets on them.

Definieren einer InternetstrategieDefine an internet edge strategy

Wählen Sie aus, ob Sie native Cloud-Dienstanbieter-Steuerelemente oder virtuelle Netzwerkgeräte für die Internet-Edgesicherheit verwenden.Choose whether to use native cloud service provider controls or virtual network appliances for internet edge security.

Internet-Edgedatenverkehr (manchmal auch als „Nord-Süd-Datenverkehr“ bezeichnet) stellt die Netzwerkkonnektivität zwischen ihren Ressourcen in der Cloud und dem Internet dar.Internet edge traffic (sometimes referred to as “North-South” traffic) represents network connectivity between your assets in the cloud and the Internet. Legacyworkloads erfordern Schutz vor Internetendpunkten, da sie unter der Annahme erstellt wurden, dass eine Internetfirewall sie vor diesen Angriffen schützt.Legacy workloads require protection from Internet endpoints because they were built with the assumption that an internet firewall protected them against these attacks. Eine Internet-Edgestrategie zielt darauf ab, so viele Angriffe aus dem Internet abzuwehren, wie sinnvollerweise erkannt oder blockiert werden können.An Internet edge strategy is intended to mitigate as many attacks from the internet as is reasonable to detect or block.

Es gibt zwei primäre Optionen, die Internet-Edgesicherheitskontrollen und -überwachung bereitstellen können:There are two primary choices that can provide Internet edge security controls and monitoring:

  • Native Steuerelemente des Cloud-Dienstanbieters (Azure Firewall + Web Application Firewall (WAF))Cloud Service Provider Native Controls (Azure Firewall + Web Application Firewall (WAF))

  • Virtuelle Netzwerkgeräte von Partnern (Firewall- und WAF-Anbieter verfügbar in Azure Marketplace)Partner Virtual Network Appliances (Firewall and WAF Vendors available in Azure Marketplace)

  • Native Steuerelemente eines Cloud-Dienstanbieters bieten in der Regel grundlegende Sicherheit, die für häufige Angriffe geeignet ist, z.B. OWASP Top 10.Cloud service provider native controls typically offer basic security that is good enough for common attacks, such as the OWASP Top 10.

  • Im Gegensatz dazu bieten Partnerfunktionen von Cloud-Dienstanbietern häufig wesentlich erweiterte Features, die vor komplexen (aber oft ungewöhnlichen) Angriffen schützen können.In contrast, cloud service provider partner capabilities often provide much more advanced features that can protect against sophisticated (but often uncommon) attacks. Partnerlösungen sind immer teurer als native Steuerelemente.Partner solutions consistently cost more than native controls. Außerdem kann die Konfiguration von Partnerlösungen sehr komplex und anfälliger sein als native Steuerelemente, da Sie nicht in die Fabriccontroller der Cloud integriert werden.In addition, configuration of partner solutions can be very complex and more fragile than native controls because they do not integrate with cloud’s fabric controllers.

Die Entscheidung, native Steuerelemente oder Steuerelemente von Partnern zu verwenden, sollte auf den Erfahrungen und Anforderungen Ihrer Organisation basieren.The decision to use native versus partner controls should be based on your organization’s experience and requirements. Wenn die Features der erweiterten Firewalllösungen nicht genügend Nutzen bieten, können Sie die nativen Funktionen verwenden, die für eine einfache Konfiguration und Skalierung konzipiert sind.If the features of the advanced firewall solutions don’t provide sufficient return on investment, you may consider using the native capabilities that are designed to be easy to configure and scale.

Außerbetriebnahme der vorhandenen NetzwerksicherheitstechnologieDiscontinue legacy network security technology

Setzen Sie signaturbasierte NIDS/NIPS-Systeme (Network Intrusion Detection/Network Intrusion Prevention) und DLP (Network Data Leakage/Loss Prevention) nicht mehr ein.Discontinue the use of signature-based Network Intrusion Detection/Network Intrusion Prevention (NIDS/NIPS) Systems and Network Data Leakage/Loss Prevention (DLP).

Die großen Cloud-Dienstanbieter filtern bereits nach fehlerhaften Paketen und gängigen Angriffen auf Netzwerkebene, sodass eine NIDS/NIPS-Lösung zur Erkennung dieser Angriffe nicht erforderlich ist.The major cloud service providers already filter for malformed packets and common network layer attacks, so there’s no need for a NIDS/NIPS solution to detect those. Außerdem werden herkömmliche NIDS/NIPS-Lösungen in der Regel durch signaturbasierte Ansätze (die als veraltet eingestuft werden) gesteuert und können von Angreifern problemlos umgangen werden, was in der Regel zu einer hohen Rate von falsch positiven Ergebnissen führt.In addition, traditional NIDS/NIPS solutions are typically driven by signature-based approaches (which are considered outdated) and are easily evaded by attackers and typically produce a high rate of false positives.

Netzwerkbasiertes DLP ist immer weniger effektiv bei der Erkennung von unbeabsichtigtem und vorsätzlichem Datenverlust.Network-based DLP is decreasingly effective at identifying both inadvertent and deliberate data loss. Der Grund hierfür ist, dass die meisten modernen Protokolle und Angreifer Verschlüsselung auf Netzwerkebene für die eingehende und ausgehende Kommunikation verwenden.The reason for this is that most modern protocols and attackers use network-level encryption for inbound and outbound communications. Die einzige praktikable Problemumgehung dafür ist „SSL-Bridging“, das eine „autorisierte Man-in-the-Middle-Lösung“ bietet, die verschlüsselte Netzwerkverbindungen beendet und dann wiederherstellt.The only viable workaround for this is “SSL-bridging” which provides an “authorized man-in-the-middle” that terminates and then reestablishes encrypted network connections. Der SSL-Bridging-Ansatz ist aufgrund des Grads an Vertrauen, das für den Partner, der die Lösung betreibt, und die verwendeten Technologien erforderlich ist, gegenstandslos geworden.The SSL-bridging approach has fallen out of favor because of the level of trust required for the partner running the solution and the technologies that are being used.

Basierend auf dieser Begründung empfehlen wir Ihnen, die Verwendung dieser älteren Netzwerksicherheitstechnologien einzustellen.Based on this rationale, we offer an all-up recommendation that you discontinue use of these legacy network security technologies. Wenn Sie jedoch die Erfahrung gemacht haben, dass diese Technologien einen spürbaren Einfluss auf die Verhinderung und Erkennung echter Angriffe hatten, können Sie eine Portierung in Ihre Cloudumgebung in Betracht ziehen.However, if your organizational experience is that these technologies have had a palpable impact on preventing and detecting real attacks, you can consider porting them to your cloud environment.

Entwerfen der Sicherheit des Subnetzes des virtuellen NetzwerksDesign virtual network subnet security

Entwerfen Sie virtuelle Netzwerke und Subnetze unter Wachstumsaspekten.Design virtual networks and subnets for growth.

Die meisten Unternehmen fügen ihren Netzwerken im Lauf der Zeit mehr Ressourcen hinzu, als sie ursprünglich geplant hatten.Most organizations end up adding more resources to their networks than they initially planned for. In diesem Fall müssen IP-Adressierungs- und Subnetzschemas umgestaltet werden, um den zusätzlichen Ressourcen Rechnung zu tragen.When this happens, IP addressing and subnetting schemes need to be refactored to accommodate the extra resources. Dies ist ein arbeitsintensiver Prozess.This is a labor-intensive process. Bei der Erstellung einer sehr großen Anzahl kleiner Subnetze ergibt sich ein eingeschränkter Sicherheitswert, wenn anschließend versucht wird, den einzelnen Komponenten Netzwerkzugangskontrollen zuzuordnen.There is limited security value in creating a very large number of small subnets and then trying to map network access controls (such as security groups) to each of them.

Es wird empfohlen, dass Sie Ihre Subnetze basierend auf allgemeinen Rollen und Funktionen planen, die gemeinsame Protokolle für diese Rollen und Funktionen verwenden.We recommend that you plan your subnets based on common roles and functions that use common protocols for those roles and functions. Dies ermöglicht es Ihnen, dem Subnetz Ressourcen hinzuzufügen, ohne Änderungen an Sicherheitsgruppen vornehmen zu müssen, die Zugangskontrollen auf Netzwerkebene erzwingen.This allows you to add resources to the subnet without needing to make changes to security groups that enforce network level access controls.

Verwenden Sie keine „vollständig offenen“ Regeln für eingehenden Datenverkehr aus Subnetzen und ausgehenden Datenverkehr in Subnetze.Do not use “all open” rules for inbound and outbound traffic to and from subnets. Verwenden Sie den Netzwerkansatz der „geringstmöglichen Rechte“, und lassen Sie nur relevante Protokolle zu.Use a network “least privilege” approach and only allow relevant protocols. Dadurch wird die gesamte Angriffsfläche des Subnetzes im Netzwerk verringert.This will decrease your overall network attack surface on the subnet.

Alle offenen Regeln (die ein- und ausgehenden Datenverkehr von und zu 0.0.0.0.0-255.255.255.255 erlauben) vermitteln ein falsches Sicherheitsgefühl, da eine solche Regel überhaupt keine Sicherheit erzwingt.All open rules (allowing inbound/outbound to and from 0.0.0.0-255.255.255.255) provide a false sense of security since such a rule enforces no security at all.

Eine Ausnahme hiervon besteht jedoch, wenn Sie Sicherheitsgruppen nur für die Netzwerkprotokollierung verwenden möchten.However, the exception to this is if you want to use security groups only for network logging. Dies wird nicht empfohlen, aber es ist eine Option, wenn bereits eine andere Lösung für die Kontrolle des Netzwerkzugriffs vorhanden ist.We do not recommend this, but it is an option if you have another network access control solution in place.

Azure Virtual Network-Subnetze können auf diese Weise entworfen werden.Azure Virtual Network subnets can be designed in this way.

Entschärfen von DDoS-AngriffenMitigate DDoS attacks

Aktivieren Sie verteilte DDoS-Entschärfungen (Denial-of-Service) für alle geschäftskritischen Webanwendungen und -dienste.Enable Distributed Denial of Service (DDoS) mitigations for all business-critical web application and services.

DDoS-Angriffe sind weit verbreitet und werden problemlos auch von ungeübten Angreifern durchgeführt.DDoS attacks are prevalent and are easily carried out by unsophisticated attackers. Im Darknet sind sogar „DDoS-as-a-Service“-Optionen verfügbar.There are even “DDoS as a service” options on the dark net. DDoS-Angriffe können sehr lähmend sein und den Zugriff auf Ihre Dienste vollständig blockieren oder die Dienste sogar deaktivieren, abhängig von der Art des DDoS-Angriffs.DDoS attacks can be very debilitating and completely block access to your services and even take down the services, depending on the type of DDoS attack.

Die großen Cloud-Dienstanbieter bieten DDoS-Schutz für Dienste mit unterschiedlicher Effektivität und Kapazität.The major cloud service providers offer DDoS protection of services of varying effectiveness and capacity. Die Cloud-Dienstanbieter bieten in der Regel zwei DDoS-Schutzoptionen:The cloud service providers typically provide two DDoS protection options:

  • DDoS-Schutz auf der Fabricebene des Cloudnetzwerks: Alle Kunden des Cloud-Dienstanbieters profitieren von diesen Schutzmaßnahmen.DDoS protection at the cloud network fabric level – all customers of the cloud service provider benefit from these protections. Der Schutz konzentriert sich in der Regel auf die Netzwerkebene (Ebene 3).The protection is usually focused at the network (layer 3) level.

  • DDoS-Schutz auf höheren Ebenen, die für die Profilerstellung ihrer Dienste verantwortlich sind: Diese Art von Schutz dient als Grundlage für Ihre Bereitstellungen und verwendet dann Machine Learning-Techniken, um anormalen Datenverkehr zu erkennen und bereits vor der Leistungsminderung des Diensts proaktiv Schutz zu bieten.DDoS protection at higher levels that profile your services – this kind of protection will baseline your deployments and then use machine learning techniques to detect anomalous traffic and proactively protect based on their protection before there is service degradation

Es wird empfohlen, dass Sie erweiterten Schutz für alle Dienste einführen, bei denen Ausfallzeiten negative Auswirkungen auf das Unternehmen haben würden.We recommend that you adopt the advance protection for any services where downtime will have negative impact on the business.

Ein Beispiel für erweiterten DDoS-Schutz ist der Azure DDoS Protection-Dienst.An example of advanced DDoS protection is the Azure DDoS Protection Service.

Festlegen einer Richtlinie für eingehenden/ausgehenden InternetdatenverkehrDecide upon an internet ingress/egress policy

Leiten Sie den Datenverkehr, der für das Internet bestimmt ist, über lokale Sicherheitsgeräte weiter, oder erlauben Sie die Internetkonnektivität über cloudbasierte Netzwerksicherheitsgeräte.Choose to route traffic destined for the Internet through on-premises security devices or allow Internet connectivity through cloud-based network security devices.

Das Routing von Internetdatenverkehr über lokale Netzwerksicherheitsgeräte wird auch als „erzwungenes Tunneling“ bezeichnet.Routing Internet traffic through on-premises network security devices is also known as “forced tunneling”. In einem Szenario mit erzwungenem Tunneling werden alle Internetverbindungen über eine standortübergreifende WAN-Verbindung zurück an lokale Netzwerksicherheitsgeräte gezwungen.In a forced tunneling scenario, all connectivity to the Internet is forced back to on-premises network security devices through a cross-premises WAN link. Ziel ist es, Netzwerksicherheitsteams mehr Sicherheit und Transparenz für Internetdatenverkehr zu bieten.The goal is to provide network security teams greater security and visibility for Internet traffic. Auch wenn Ihre Ressourcen in der Cloud versuchen, auf eingehende Anforderungen aus dem Internet zu reagieren, werden die Antworten über lokale Netzwerksicherheitsgeräte erzwungen.Even when your resources in the cloud try to respond to incoming requests from the Internet, the responses will be forced through on-premises network security devices.

Alternativ eignet sich erzwungenes Tunneling für ein „Datencenter-Erweiterungsparadigma“ und kann gut für einen schnellen Proof of Concept funktionieren, aber aufgrund der zunehmenden Auslastung durch Datenverkehr, Latenz und Kosten nur schlecht skaliert werden.Alternately, forced tunneling fits a “datacenter expansion” paradigm and can work well for a quick proof of concept, but scales poorly because of the increased traffic load, latency, and cost.

Die empfohlene Vorgehensweise für die Verwendung in der Produktionsumgebung besteht darin, Cloudressourcen zu ermöglichen, direkt über Cloudnetzwerk-Sicherheitsgeräte, die durch Ihre Internet-Edgestrategie definiert werden, Internetanforderungen zu initiieren und darauf zu antworten.The recommended approach for production enterprise use is to allow cloud resources to initiate and respond to Internet request directly through cloud network security devices defined by your internet edge strategy.

Der direkte Internetansatz passt zum Paradigma des N-ten Datencenters (z.B. sind Azure-Datencenter ein natürlicher Bestandteil meines Unternehmens).The direct Internet approach fits the Nth datacenter paradigm (for example, Azure datacenters are a natural part of my enterprise). Diese Vorgehensweise ist für eine Unternehmensbereitstellung wesentlich besser geeignet, da keine Hops anfallen, die Auslastung, Latenz und Kosten hinzufügen.This approach scales much better for an enterprise deployment as it removes hops that add load, latency, and cost.

Es wird empfohlen, erzwungenes Tunneling aus den oben genannten Gründen zu vermeiden.We recommend that you avoid forced tunneling for the reasons noted above.

Aktivieren erweiterter NetzwerktransparenzEnable enhanced network visibility

Sie sollten eine verbesserte Netzwerktransparenz ermöglichen, indem Sie Netzwerkprotokolle in ein SIEM-System (Security Information and Event Management) wie Azure Sentinel oder eine Drittanbieterlösung wie Splunk, QRadar oder ArcSight ESM integrieren.You should enable enhanced network visibility by integrating network logs into a Security information and event management (SIEM) like Azure Sentinel or a third partner solution such as Splunk, QRadar, or ArcSight ESM.

Durch die Integration von Protokollen von Ihren Netzwerkgeräten und sogar durch Netzwerk-Rohdatenverkehr selbst erhalten Sie einen besseren Einblick in mögliche Sicherheitsbedrohungen, die über das Netzwerk übertragen werden.Integrating logs from your network devices, and even raw network traffic itself, will provide you greater visibility over potential security threats flowing over the wire. Diese Protokollinformationen können in erweiterte SIEM-Lösungen oder andere Analyseplattformen integriert werden.This log information can be integrated in advanced SIEM solutions or other analytics platforms. Die modernen, auf Machine Learning basierenden Analyseplattformen unterstützen die Erfassung extrem großer Datenmengen und können große Datasets sehr schnell analysieren.The modern machine learning based analytics platforms support ingestion of extremely large amounts of information and can analyze large datasets very quickly. Außerdem können diese Lösungen optimiert werden, um falsch positive Warnungen erheblich zu verringern.In addition, these solutions can be tuned to significantly reduce false positive alerts.

Beispiele für Netzwerkprotokolle, die Transparenz bereitstellen:Examples of network logs that provide visibility include:

Nächste SchritteNext steps

Weitere Sicherheitshinweise von Microsoft finden Sie in der Microsoft-Sicherheits Dokumentation.For additional security guidance from Microsoft, see Microsoft security documentation.