Netzwerksicherheit und -kapselung

Netzwerksicherheit ist seit jeher der traditionelle Dreh- und Angelpunkt der Sicherheitsmaßnahmen von Unternehmen. Cloud Computing hat jedoch die Anforderung erhöht, dass die Netzwerkperimeter durchlässiger sein müssen, und viele Angreifer beherrschen die Kunst der Angriffe auf Identitätssystemelemente (die fast immer Netzwerkkontrollen umgehen). Durch diese Faktoren ist die Notwendigkeit gestiegen, sich in erster Linie auf identitätsbasierte Zugangskontrollen zum Schutz der Ressourcen zu konzentrieren und nicht auf netzwerkbasierte Zugangskontrollen.

Diese schmälern die Rolle der Netzwerksicherheitskontrollen, beseitigen sie aber nicht vollständig. Während die Netzwerksicherheit nicht mehr im Vordergrund der Sicherung von cloudbasierten Ressourcen steht, hat sie für das große Portfolio an Legacyressourcen (die unter der Annahme erstellt wurden, dass ein netzwerkbasierter Sicherheitsperimeter mit Firewall vorhanden ist) weiterhin höchste Priorität. Viele Angreifer setzen immer noch Scan- und Exploit-Methoden in allen IP-Bereichen von öffentlichen Cloudanbietern ein und durchdringen erfolgreich die Verteidigung bei den Anbietern, die sich nicht an grundlegende Maßnahmen der Netzwerksicherheit halten. Netzwerksicherheitskontrollen stellen auch ein tief greifendes Element Ihrer Strategie dar, das dazu beiträgt, sich vor Angreifern zu schützen, die in Ihre Cloudbereitstellungen eindringen, diese zu erkennen, einzudämmen und abzuwehren.

In der Kategorie Netzwerksicherheit und -kapselung sprechen wir die folgenden Empfehlungen für bewährte Methoden aus:

  • Ausrichten der Netzwerksegmentierung an der allgemeinen Strategie

  • Zentralisieren der Netzwerkverwaltung und -sicherheit

  • Erstellen einer Strategie für die Kapselung des Netzwerks

  • Definieren einer Internetstrategie

Zentralisieren der Netzwerkverwaltung und -sicherheit

Zentralisieren Sie die organisatorische Verantwortung für die Verwaltung und Sicherheit von Netzwerkkernfunktionen wie standortübergreifende Verbindungen, virtuelle Netzwerke, Subnetze und IP-Adressen sowie für Netzwerksicherheitselemente wie virtuelle Netzwerkgeräte, Verschlüsselung von virtuellen Cloudnetzwerkaktivitäten und standortübergreifendem Datenverkehr, netzwerkbasierte Zugangskontrollen und andere traditionelle Netzwerksicherheitskomponenten.

Wenn Sie die Netzwerkverwaltung und -sicherheit zentralisieren, verringern Sie das Potenzial für inkonsistente Strategien, die zu potenziellen Sicherheitsrisiken führen können, die Angreifer ggf. ausnutzen. Da nicht alle Bereiche der IT- und Entwicklungsorganisationen über das gleiche Wissen und die gleiche Komplexität im Bereich Netzwerkverwaltung und Sicherheit verfügen, profitieren Unternehmen von der Nutzung der Expertise und der Tools eines zentralisierten Netzwerkteams.

Azure Security Center kann verwendet werden, um die Verwaltung der Netzwerksicherheit zu zentralisieren.

Ausrichten der Netzwerksegmentierung an der Segmentierungsstrategie des Unternehmens

Richten Sie Ihr Netzwerksegmentierungsmodell am Unternehmenssegmentierungsmodell für Ihre Organisation aus (definiert im Abschnitt „Governance, Risiko und Compliance“).

Dies wird Verwirrung und daraus resultierende Herausforderungen verringern, weil verschiedene technische Teams (Netzwerke, Identitäten, Anwendungen usw.) nicht jeweils eigene Segmentierungs- und Delegationsmodelle entwickeln, die nicht aufeinander abgestimmt sind. Dies führt zu einer einfachen und einheitlichen Sicherheitsstrategie, die dazu beiträgt, die Anzahl der Fehler aufgrund von menschlichen Fehlern zu verringern und die Zuverlässigkeit durch Automatisierung zu erhöhen.

Vergleichen Sie die Abbildungen unter Netzwerksicherheit und -kapselung.

Abbildung der hybriden Cloudinfrastruktur - Netzwerkarchitektur

Weiterentwicklung der Sicherheit über Netzwerkkontrollen hinaus

Stellen Sie sicher, dass technische Kontrollen Bedrohungen außerhalb der von Ihnen kontrollierten Netzwerke wirksam verhindern, erkennen und darauf reagieren können.

Im Zuge der Umstellung auf moderne Architekturen werden viele Dienste und Komponenten, die für Anwendungen benötigt werden, über das Internet oder in Cloudanbieternetzwerken abgerufen, oft über mobile und andere Geräte außerhalb des Netzwerks. Herkömmliche Netzwerkkontrollen, die auf einem Ansatz „vertrauenswürdiges Intranet“ basieren, können für diese Anwendungen keine wirksamen Sicherheitsgarantien bieten. Diese sich wandelnde Landschaft wird durch Prinzipien gut erfasst, die durch die Ansätze Jericho Forum und „Zero Trust“ beschrieben werden.

Erstellen Sie eine Strategie zur Risikominderung, die auf einer Kombination aus Netzwerkkontrollen und Anwendungs-, Identitäts- und anderen Steuerungstypen basiert.

  • Stellen Sie sicher, dass die Ressourcengruppierung und die administrativen Berechtigungen auf das Segmentierungsmodell abgestimmt sind (siehe Abbildung XXXX).

  • Stellen Sie sicher, dass Sie Sicherheitskontrollen entwerfen, mit denen erwarteter Datenverkehr, Zugriffsanforderungen und andere Anwendungskommunikation zwischen Segmenten identifiziert und zugelassen werden. Überwachen Sie die Kommunikation zwischen den Segmenten, um unerwartete Kommunikation zu identifizieren, sodass Sie untersuchen können, ob Sie Warnungen einrichten oder den Datenverkehr blockieren sollten, um das Risiko zu minimieren, dass Angreifer Segmentierungsgrenzen überschreiten.

Erstellen einer Sicherheitskapselungsstrategie

Erstellen Sie eine Risikokapselungsstrategie, die bewährte Ansätze umfasst, beispielsweise:

  • Vorhandene Netzwerksicherheitskontrollen und Vorgehensweisen

  • In Azure verfügbare native Sicherheitskontrollen

  • Zero Trust-Ansätze

Die Kapselung von Angriffsvektoren in einer Umgebung ist wichtig. Um jedoch in Cloudumgebungen wirkungsvoll zu sein, können herkömmliche Ansätze sich als unzureichend erweisen, und Sicherheitsorganisationen müssen ihre Methoden weiterentwickeln.

  • Die Konsistenz der Kontrollen vor Ort und in der Cloudinfrastruktur ist wichtig, aber die Verteidigung ist effektiver und kontrollierbarer, wenn sie die nativen Funktionen eines Cloud-Dienstanbieters, dynamische JIT-Ansätze (Just-In-Time) und integrierte Identitäts- und Kennwortkontrollen nutzt, wie sie von Zero Trust-/Continuous Validation-Ansätzen empfohlen werden.

  • Eine bewährte Methode zur Netzwerksicherheit besteht in der Sicherstellung, dass es Kontrollen des Netzwerkzugriffs zwischen Netzwerkkonstrukten gibt. Diese Konstrukte können virtuelle Netzwerke oder Subnetze in diesen virtuellen Netzwerken darstellen. Dies dient dem Schutz und der Übermittlung von Ost-West-Datenverkehr in der Cloud-Netzwerkinfrastruktur.

  • Eine wichtige Entwurfsentscheidung für Netzwerksicherheit besteht darin, ob hostbasierte Firewalls verwendet werden sollen. Hostbasierte Firewalls unterstützen eine umfassende und tief greifende Verteidigungsstrategie. Um jedoch den größten Nutzen zu erzielen, erfordern sie einen erheblichen Verwaltungsaufwand. Wenn Ihr Unternehmen sie in der Vergangenheit für wirksam befunden hat, um Sie beim Schutz vor und dem Aufdecken von Bedrohungen zu unterstützen, sollten Sie sie für Ihre cloudbasierten Ressourcen verwenden. Wenn Sie feststellen, dass sie keinen signifikanten Mehrwert erbracht haben, stellen Sie die Nutzung ein und erkunden native Lösungen auf der Plattform Ihres Cloud-Dienstanbieters, die einen ähnlichen Nutzen bieten.

Eine sich entwickelnde Empfehlung für bewährte Methoden ist die Einführung einer Zero Trust-Strategie, die auf Benutzer-, Geräte- und Anwendungsidentitäten basiert. Im Gegensatz zu Netzwerkzugangskontrollen, die auf Elementen basieren (z.B. auf einer IP-Quell-und -Zieladresse, Protokollen und Portnummern) erzwingt und überprüft Zero Trust die Zugangskontrolle zur „Zugriffszeit“. Dadurch entfällt die Notwendigkeit, ein „Vorhersagespiel“ für eine gesamte Bereitstellung, ein Netzwerk oder ein Subnetz zu betreiben – nur die Zielressource muss die erforderlichen Zugangskontrollen bereitstellen.

  • Azure-Netzwerksicherheitsgruppen können für Zugangskontrollen der Basisebenen 3 und 4 zwischen Azure Virtual Networks, Subnetzen und dem Internet verwendet werden.

  • Azure Web Application Firewall und Azure Firewall können für erweiterte Netzwerkzugangskontrollen verwendet werden, die Unterstützung auf Anwendungsebene erfordern.

  • Local Admin Password Solution (LAPS) oder eine Privileged Access Management-Lösung von Drittanbietern kann sichere lokale Administratorkennwörter festlegen und den JIT-Zugriff (Just-In-Time) auf sie ermöglichen.

Darüber hinaus bieten Drittanbieter Lösungen mit Mikrosegmentierung an, die Ihre Netzwerkkontrolle verbessern können, indem sie Zero Trust-Prinzipien auf Netzwerke anwenden, die Legacyressourcen enthalten.

Definieren einer Internetstrategie

Wählen Sie aus, ob Sie native Cloud-Dienstanbieter-Steuerelemente oder virtuelle Netzwerkgeräte für die Internet-Edgesicherheit verwenden.

Internet-Edgedatenverkehr (manchmal auch als „Nord-Süd-Datenverkehr“ bezeichnet) stellt die Netzwerkkonnektivität zwischen ihren Ressourcen in der Cloud und dem Internet dar. Legacyworkloads erfordern Schutz vor Internetendpunkten, da sie unter der Annahme erstellt wurden, dass eine Internetfirewall sie vor diesen Angriffen schützt. Eine Internet-Edgestrategie zielt darauf ab, so viele Angriffe aus dem Internet abzuwehren, wie sinnvollerweise erkannt oder blockiert werden können.

Es gibt zwei primäre Optionen, die Internet-Edgesicherheitskontrollen und -überwachung bereitstellen können:

  • Native Steuerelemente des Cloud-Dienstanbieters (Azure Firewall + Web Application Firewall (WAF))

  • Virtuelle Netzwerkgeräte von Partnern (Firewall- und WAF-Anbieter verfügbar in Azure Marketplace)

  • Native Steuerelemente eines Cloud-Dienstanbieters bieten in der Regel grundlegende Sicherheit, die für häufige Angriffe geeignet ist, z.B. OWASP Top 10.

  • Im Gegensatz dazu bieten Partnerfunktionen von Cloud-Dienstanbietern häufig wesentlich erweiterte Features, die vor komplexen (aber oft ungewöhnlichen) Angriffen schützen können. Partnerlösungen sind immer teurer als native Steuerelemente. Außerdem kann die Konfiguration von Partnerlösungen sehr komplex und anfälliger sein als native Steuerelemente, da Sie nicht in die Fabriccontroller der Cloud integriert werden.

Die Entscheidung, native Steuerelemente oder Steuerelemente von Partnern zu verwenden, sollte auf den Erfahrungen und Anforderungen Ihrer Organisation basieren. Wenn die Features der erweiterten Firewalllösungen nicht genügend Nutzen bieten, können Sie die nativen Funktionen verwenden, die für eine einfache Konfiguration und Skalierung konzipiert sind.

Außerbetriebnahme der vorhandenen Netzwerksicherheitstechnologie

Setzen Sie signaturbasierte NIDS/NIPS-Systeme (Network Intrusion Detection/Network Intrusion Prevention) und DLP (Network Data Leakage/Loss Prevention) nicht mehr ein.

Die großen Cloud-Dienstanbieter filtern bereits nach fehlerhaften Paketen und gängigen Angriffen auf Netzwerkebene, sodass eine NIDS/NIPS-Lösung zur Erkennung dieser Angriffe nicht erforderlich ist. Außerdem werden herkömmliche NIDS/NIPS-Lösungen in der Regel durch signaturbasierte Ansätze (die als veraltet eingestuft werden) gesteuert und können von Angreifern problemlos umgangen werden, was in der Regel zu einer hohen Rate von falsch positiven Ergebnissen führt.

Netzwerkbasiertes DLP ist immer weniger effektiv bei der Erkennung von unbeabsichtigtem und vorsätzlichem Datenverlust. Der Grund hierfür ist, dass die meisten modernen Protokolle und Angreifer Verschlüsselung auf Netzwerkebene für die eingehende und ausgehende Kommunikation verwenden. Die einzige praktikable Problemumgehung dafür ist „SSL-Bridging“, das eine „autorisierte Man-in-the-Middle-Lösung“ bietet, die verschlüsselte Netzwerkverbindungen beendet und dann wiederherstellt. Der SSL-Bridging-Ansatz ist aufgrund des Grads an Vertrauen, das für den Partner, der die Lösung betreibt, und die verwendeten Technologien erforderlich ist, gegenstandslos geworden.

Basierend auf dieser Begründung empfehlen wir Ihnen, die Verwendung dieser älteren Netzwerksicherheitstechnologien einzustellen. Wenn Sie jedoch die Erfahrung gemacht haben, dass diese Technologien einen spürbaren Einfluss auf die Verhinderung und Erkennung echter Angriffe hatten, können Sie eine Portierung in Ihre Cloudumgebung in Betracht ziehen.

Entwerfen der Sicherheit des Subnetzes des virtuellen Netzwerks

Entwerfen Sie virtuelle Netzwerke und Subnetze unter Wachstumsaspekten.

Die meisten Unternehmen fügen ihren Netzwerken im Lauf der Zeit mehr Ressourcen hinzu, als sie ursprünglich geplant hatten. In diesem Fall müssen IP-Adressierungs- und Subnetzschemas umgestaltet werden, um den zusätzlichen Ressourcen Rechnung zu tragen. Dies ist ein arbeitsintensiver Prozess. Bei der Erstellung einer sehr großen Anzahl kleiner Subnetze ergibt sich ein eingeschränkter Sicherheitswert, wenn anschließend versucht wird, den einzelnen Komponenten Netzwerkzugangskontrollen zuzuordnen.

Es wird empfohlen, dass Sie Ihre Subnetze basierend auf allgemeinen Rollen und Funktionen planen, die gemeinsame Protokolle für diese Rollen und Funktionen verwenden. Dies ermöglicht es Ihnen, dem Subnetz Ressourcen hinzuzufügen, ohne Änderungen an Sicherheitsgruppen vornehmen zu müssen, die Zugangskontrollen auf Netzwerkebene erzwingen.

Verwenden Sie keine „vollständig offenen“ Regeln für eingehenden Datenverkehr aus Subnetzen und ausgehenden Datenverkehr in Subnetze. Verwenden Sie den Netzwerkansatz der „geringstmöglichen Rechte“ , und lassen Sie nur relevante Protokolle zu. Dadurch wird die gesamte Angriffsfläche des Subnetzes im Netzwerk verringert.

Alle offenen Regeln (die ein- und ausgehenden Datenverkehr von und zu 0.0.0.0.0-255.255.255.255 erlauben) vermitteln ein falsches Sicherheitsgefühl, da eine solche Regel überhaupt keine Sicherheit erzwingt.

Eine Ausnahme hiervon besteht jedoch, wenn Sie Sicherheitsgruppen nur für die Netzwerkprotokollierung verwenden möchten. Dies wird nicht empfohlen, aber es ist eine Option, wenn bereits eine andere Lösung für die Kontrolle des Netzwerkzugriffs vorhanden ist.

Azure Virtual Network-Subnetze können auf diese Weise entworfen werden.

Entschärfen von DDoS-Angriffen

Aktivieren Sie verteilte DDoS-Entschärfungen (Denial-of-Service) für alle geschäftskritischen Webanwendungen und -dienste.

DDoS-Angriffe sind weit verbreitet und werden problemlos auch von ungeübten Angreifern durchgeführt. Im Darknet sind sogar „DDoS-as-a-Service“-Optionen verfügbar. DDoS-Angriffe können sehr lähmend sein und den Zugriff auf Ihre Dienste vollständig blockieren oder die Dienste sogar deaktivieren, abhängig von der Art des DDoS-Angriffs.

Die großen Cloud-Dienstanbieter bieten DDoS-Schutz für Dienste mit unterschiedlicher Effektivität und Kapazität. Die Cloud-Dienstanbieter bieten in der Regel zwei DDoS-Schutzoptionen:

  • DDoS-Schutz auf der Fabricebene des Cloudnetzwerks: Alle Kunden des Cloud-Dienstanbieters profitieren von diesen Schutzmaßnahmen. Der Schutz konzentriert sich in der Regel auf die Netzwerkebene (Ebene 3).

  • DDoS-Schutz auf höheren Ebenen, die für die Profilerstellung ihrer Dienste verantwortlich sind: Diese Art von Schutz dient als Grundlage für Ihre Bereitstellungen und verwendet dann Machine Learning-Techniken, um anormalen Datenverkehr zu erkennen und bereits vor der Leistungsminderung des Diensts proaktiv Schutz zu bieten.

Es wird empfohlen, dass Sie erweiterten Schutz für alle Dienste einführen, bei denen Ausfallzeiten negative Auswirkungen auf das Unternehmen haben würden.

Ein Beispiel für erweiterten DDoS-Schutz ist der Azure DDoS Protection-Dienst.

Festlegen einer Richtlinie für eingehenden/ausgehenden Internetdatenverkehr

Leiten Sie den Datenverkehr, der für das Internet bestimmt ist, über lokale Sicherheitsgeräte weiter, oder erlauben Sie die Internetkonnektivität über cloudbasierte Netzwerksicherheitsgeräte.

Das Routing von Internetdatenverkehr über lokale Netzwerksicherheitsgeräte wird auch als „erzwungenes Tunneling“ bezeichnet. In einem Szenario mit erzwungenem Tunneling werden alle Internetverbindungen über eine standortübergreifende WAN-Verbindung zurück an lokale Netzwerksicherheitsgeräte gezwungen. Ziel ist es, Netzwerksicherheitsteams mehr Sicherheit und Transparenz für Internetdatenverkehr zu bieten. Auch wenn Ihre Ressourcen in der Cloud versuchen, auf eingehende Anforderungen aus dem Internet zu reagieren, werden die Antworten über lokale Netzwerksicherheitsgeräte erzwungen.

Alternativ eignet sich erzwungenes Tunneling für ein „Datencenter-Erweiterungsparadigma“ und kann gut für einen schnellen Proof of Concept funktionieren, aber aufgrund der zunehmenden Auslastung durch Datenverkehr, Latenz und Kosten nur schlecht skaliert werden.

Die empfohlene Vorgehensweise für die Verwendung in der Produktionsumgebung besteht darin, Cloudressourcen zu ermöglichen, direkt über Cloudnetzwerk-Sicherheitsgeräte, die durch Ihre Internet-Edgestrategie definiert werden, Internetanforderungen zu initiieren und darauf zu antworten.

Der direkte Internetansatz passt zum Paradigma des N-ten Datencenters (z.B. sind Azure-Datencenter ein natürlicher Bestandteil meines Unternehmens). Diese Vorgehensweise ist für eine Unternehmensbereitstellung wesentlich besser geeignet, da keine Hops anfallen, die Auslastung, Latenz und Kosten hinzufügen.

Es wird empfohlen, erzwungenes Tunneling aus den oben genannten Gründen zu vermeiden.

Aktivieren erweiterter Netzwerktransparenz

Sie sollten eine verbesserte Netzwerktransparenz ermöglichen, indem Sie Netzwerkprotokolle in ein SIEM-System (Security Information and Event Management) wie Azure Sentinel oder eine Drittanbieterlösung wie Splunk, QRadar oder ArcSight ESM integrieren.

Durch die Integration von Protokollen von Ihren Netzwerkgeräten und sogar durch Netzwerk-Rohdatenverkehr selbst erhalten Sie einen besseren Einblick in mögliche Sicherheitsbedrohungen, die über das Netzwerk übertragen werden. Diese Protokollinformationen können in erweiterte SIEM-Lösungen oder andere Analyseplattformen integriert werden. Die modernen, auf Machine Learning basierenden Analyseplattformen unterstützen die Erfassung extrem großer Datenmengen und können große Datasets sehr schnell analysieren. Außerdem können diese Lösungen optimiert werden, um falsch positive Warnungen erheblich zu verringern.

Beispiele für Netzwerkprotokolle, die Transparenz bereitstellen:

Nächste Schritte

Weitere Sicherheitsempfehlungen von Microsoft finden Sie in der Microsoft-Sicherheitsdokumentation.