Erstellen der ersten Verteidigungsebene mit Azure Sicherheitsdiensten

Sie können verschiedene Azure-Dienste verwenden, um eine vollständige IT-Infrastruktur für Ihre Organisation zu erstellen. Azure bietet auch Sicherheitsdienste, mit denen Sie diese Infrastruktur schützen können. Durch die Verwendung von Azure Sicherheitslösungen können Sie den Sicherheitsstatus Ihrer Umgebung verbessern, Sicherheitsrisiken mindern und Sicherheitsrisiken mithilfe einer gut durchdachten Lösung basierend auf bewährten Methoden von Microsoft reduzieren.

Obwohl einige Sicherheitsdienste mit verbundenen Kosten verbunden sind, stehen viele kostenlos zur Verfügung. Kostenlose Dienste umfassen Netzwerksicherheitsgruppen (NSGs), Speicherverschlüsselung, TLS/SSL, freigegebene Zugriffssignatur-Token und vieles mehr. Dieser Artikel konzentriert sich auf diese kostenlosen Dienste.

Dieser Artikel ist der dritte in einer Reihe von fünf. Informationen zu den vorherigen beiden Artikeln dieser Reihe, einschließlich der Einführung und einer Überprüfung, wie Sie Bedrohungen gegen eine IT-Umgebung zuordnen können, finden Sie im folgenden Artikel:

• Bedrohungen für Ihre IT-Umgebung abbilden

Mögliche Anwendungsfälle

In diesem Artikel werden Azure Sicherheitsdienste nach Azure Ressource organisiert, sodass Sie sich auf bestimmte Bedrohungen konzentrieren können, die auf Ressourcen wie virtual machines (VMs), Betriebssysteme, Azure Netzwerke oder Anwendungen abzielen, zusätzlich zu Angriffen, die Benutzer und Kennwörter kompromittieren können. Das folgende Diagramm kann Ihnen helfen, die Azure Sicherheitsdienste zu identifizieren, mit denen Ressourcen und Benutzeridentitäten vor diesen Arten von Bedrohungen geschützt werden.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

©2021 Die MITRE Corporation. Diese Arbeit wird reproduziert und mit der Erlaubnis der MITRE Corporation verteilt.

Die Azure Sicherheitsebene in diesem Diagramm basiert auf Azure Security Benchmark (ASB) v3, einer Reihe von Sicherheitsregeln, die über Azure-Richtlinien implementiert werden. ASB basiert auf einer Kombination aus Regeln aus dem CIS Center für Internetsicherheit und dem Nationalen Institut für Standards und Technologie. Weitere Informationen zu ASB finden Sie unter Overview des Azure Security Benchmark v3.

Das Diagramm enthält nicht alle verfügbaren Azure Sicherheitsdiensts, hebt aber die am häufigsten verwendeten Dienste hervor. Alle im Architekturdiagramm gezeigten Sicherheitsdienste können kombiniert und konfiguriert werden, um mit Ihrer IT-Umgebung und den spezifischen Sicherheitsanforderungen Ihrer Organisation zusammenzuarbeiten.

Arbeitsablauf

In diesem Abschnitt werden die Komponenten und Dienste beschrieben, die im Diagramm angezeigt werden. Viele dieser Einträge sind zusätzlich zu ihren abgekürzten Bezeichnungen mit ihren ASB-Kontrollcodes gekennzeichnet. Die Steuerelementcodes entsprechen den Steuerelementdomänen, die in Controls aufgeführt sind.

1. Azure Security Benchmark

   Jedes Sicherheitssteuerelement bezieht sich auf einen oder mehrere spezifische Azure Sicherheitsdienste. Der Architekturverweis in diesem Artikel enthält einige dieser Elemente und ihre Kontrollnummern gemäß der ASB-Dokumentation. Zu den Steuerelementen gehören:

   • Netzwerksicherheit
   • Identitätsverwaltung
   • Privilegierter Zugang
   • Datenschutz
   • Asset-Management
   • Protokollierung und Bedrohungserkennung
   • Reaktion auf Vorfälle
   • Status- und Sicherheitsrisikoverwaltung
   • Endpunktsicherheit
   • Sicherung und Wiederherstellung
   • DevOps-Sicherheit
   • Governance und Strategie

   Weitere Informationen zu Sicherheitskontrollen finden Sie unter Overview des Azure Security Benchmark (v3).

2. Network

   In der folgenden Tabelle werden die verschiedenen Netzwerkdienste im Diagramm beschrieben.

   Etikett	BESCHREIBUNG	Dokumentation
   NSG	Ein kostenloser Dienst, den Sie an eine Netzwerkschnittstelle oder ein Subnetz anfügen. Mit einer NSG können Sie TCP- oder UDP-Protokolldatenverkehr mithilfe von IP-Adressbereichen und Ports für eingehende und ausgehende Verbindungen filtern.	Netzwerksicherheitsgruppen
   VPN	Ein VPN-Gateway (Virtual Private Network), das einen Tunnel mit IPSEC -Schutz (IKE v1/v2) bereitstellt.	VPN Gateway
   Azure Firewall	Eine Plattform als Dienst (PaaS), die Schutz in Schicht 4 liefert und an ein gesamtes virtuelles Netzwerk angeschlossen ist.	What is Azure Firewall?
   App GW + WAF	Azure Application Gateway mit Web Application Firewall (WAF). Application Gateway ist ein Lastenausgleicher für den Webdatenverkehr, der in Ebene 7 arbeitet und WAF hinzufügt, um Anwendungen, die HTTP und HTTPS verwenden, zu schützen.	What is Azure Application Gateway?
   NVA	Virtuelle Netzwerk-Appliance. Ein virtueller Sicherheitsdienst vom Marketplace, der auf virtuellen Computern auf Azure bereitgestellt wird.	Netzwerk-Virtual Appliances
   DDOS	DDoS-Schutz, der auf dem virtual network implementiert wurde, um verschiedene Arten von DDoS-Angriffen zu mindern.	Übersicht über Azure DDoS Network Protection
   TLS/SSL	TLS/SSL bieten Verschlüsselung während der Übertragung für die meisten Azure-Dienste, die Informationen austauschen, z. B. Azure Storage und Web-Apps.	Configure end-to-End TLS mithilfe von Application Gateway mit PowerShell
   Private Link	Dienst, mit dem Sie ein privates Netzwerk für einen Azure Dienst erstellen können, der anfänglich für das Internet verfügbar gemacht wird.	What is Azure Private Link?
   Privater Endpunkt	Erstellt eine Netzwerkschnittstelle und fügt sie an den Azure-Dienst an. Der private Endpunkt ist Teil von Private Link. Mit dieser Konfiguration kann der Dienst teil Ihres virtual network über einen privaten Endpunkt werden.	Was ist ein privater Endpunkt?

3. Infrastruktur und Endpunkte

   In der folgenden Tabelle werden Infrastruktur- und Endpunktdienste beschrieben, die im Diagramm angezeigt werden.

   Etikett	BESCHREIBUNG	Dokumentation
   Bastion	Bastion bietet die Jump-Server-Funktionalität. Mit diesem Dienst können Sie über das Remote Desktop Protokoll (RDP) oder SSH auf Ihre VMs zugreifen, ohne Ihre VMs dem Internet auszusetzen.	What is Azure Bastion?
   Antischadsoftware	Microsoft Defender bietet Antischadsoftwaredienst und ist Teil von Windows 10, Windows 11, Windows Server 2016 und Windows Server 2019.	Microsoft Defender Antivirus in Windows
   Datenträger verschlüsseln	Azure Managed Disks sind standardmäßig mit serverseitiger Verschlüsselung (SSE) verschlüsselt. Die Verschlüsselung auf host ist eine optionale Erweiterung, die die End-to-End-Verschlüsselung für VM-Daten, einschließlich temporärer Datenträger und Datenträgercaches, für unterstützte VM-Größen bereitstellt.	Encryption auf dem Host
   KeyVault	Key Vault, ein Dienst zum Speichern von Schlüsseln, geheimen Schlüsseln und Zertifikaten mit FIPS 140-2 Ebene 2 oder 3.	Azure Key Vault grundlegende Konzepte
   RDP Short	Azure Virtual Desktop RDP Shortpath. Mit dieser Funktion können Remotebenutzer über ein privates Netzwerk eine Verbindung mit dem Virtual Desktop-Dienst herstellen.	Azure Virtual Desktop RDP Shortpath für verwaltete Netzwerke
   Umgekehrte Verbindung	Ein integriertes Sicherheitsfeature von Azure Virtual Desktop. Reverse Connect garantiert, dass Remotebenutzer nur Pixeldatenströme erhalten und die Host-VMs nicht erreichen.	Verständnis der Azure Virtual Desktop-Netzwerkkonnektivität

4. Anwendung und Daten

   In der folgenden Tabelle werden Anwendungs- und Datendienste beschrieben, die im Diagramm angezeigt werden.

   Etikett	BESCHREIBUNG	Dokumentation
   Frontdoor + WAF	Ein Inhaltslieferungsnetzwerk (CDN). Front Door kombiniert mehrere Präsenzpunkte, um eine bessere Verbindung für Benutzer bereitzustellen, die auf den Dienst zugreifen, und fügt WAF hinzu.	Was ist Azure Front Door?
   API Management	Ein Dienst, der Sicherheit für API-Aufrufe bereitstellt und APIs über Umgebungen verwaltet.	About API Management
   PenTest	Eine Reihe bewährter Methoden zum Ausführen eines Penetrationstests in Ihrer Umgebung, einschließlich Azure Ressourcen.	Penetrationstests
   Storage SAS-Token	Ein freigegebenes Zugriffstoken mit Ablaufrichtlinien, damit andere Personen auf Ihr Azure-Speicherkonto zugreifen können.	Gewähren Sie eingeschränkten Zugriff auf Azure Storage-Ressourcen mithilfe von freigegebenen Zugriffssignaturen (SAS)
   Privater Endpunkt	Erstellen Sie eine Netzwerkschnittstelle, und fügen Sie sie an Ihr storage Konto an, um sie in einem privaten Netzwerk in Azure zu konfigurieren.	Verwenden Sie private Endpunkte für Azure Storage
   Speicher-Firewall	Firewall, mit der Sie einen Bereich von IP-Adressen definieren können, die auf Ihr Speicherkonto zugreifen können.	Configure Azure Storage Firewalls und virtuelle Netzwerke
   Verschlüsselung (Azure Storage)	Schützt Ihr Speicherkonto mit Verschlüsselung im Ruhezustand.	Azure Storage verschlüsselung für ruhende Daten
   SQL-Überwachung	Verfolgt Datenbankereignisse und schreibt sie in ein Überwachungsprotokoll in Ihrem Azure storage-Konto. Verwenden Sie für Analyseszenarien, die Microsoft Fabric-Warehouses oder Lakehouses nutzen, die Aktivitätsprotokolle für Fabric-Arbeitsbereiche und Microsoft Purview (sofern aktiviert), um Zugriff und Klassifizierung zu überwachen.	Auditing für Azure SQL-Datenbank übersicht über Microsoft Purview
   Bewertung von Schwachstellen	Dienst, der Ihnen hilft, potenzielle Datenbankrisiken zu ermitteln, nachverfolgen und zu beheben.	SQL-Sicherheitsrisikobewertung hilft Ihnen bei der Identifizierung von Datenbankrisiken
   Verschlüsselung (Azure SQL)	Transparent data encryption (TDE) verschlüsselt ruhende Daten für Azure SQL Database Dienste. Die in OneLake gespeicherten Microsoft Fabric-Daten sind standardmäßig mit plattformverwalteter Verschlüsselung verschlüsselt aufbewahrt, die den Sicherheitsgrundlagen von Fabric entsprechen.	Transparent data encryption für SQL-Datenbank und SQL Managed Instance Security in Microsoft Fabric

5. Identität

   In der folgenden Tabelle werden Identitätsdienste beschrieben, die im Diagramm angezeigt werden.

   Etikett	BESCHREIBUNG	Dokumentation
   RBAC	Azure rollenbasierte Zugriffskontrolle (Azure RBAC) hilft Ihnen, den Zugriff auf Azure-Dienste mithilfe feingranularer Berechtigungen zu verwalten, die auf den Microsoft Entra Anmeldeinformationen der Benutzer basieren.	Was ist Azure rollenbasierte Zugriffskontrolle (Azure RBAC)?
   MFA	Multi-Faktor-Authentifizierung bietet zusätzliche Authentifizierungstypen über Benutzernamen und Kennwörter hinaus.	Funktionsweise: Mehrstufige Microsoft Entra-Authentifizierung
   ID-Schutz	Identitätsschutz, ein Sicherheitsdienst von Microsoft Entra ID, analysiert Billionen von Signalen pro Tag, um Benutzer vor Bedrohungen zu identifizieren und zu schützen.	Was ist Identitätsschutz?
   PIM	Privileged Identity Management (PIM), ein Sicherheitsdienst von Microsoft Entra ID. Sie können vorübergehend Superuser-Berechtigungen für Microsoft Entra ID (z. B. Benutzeradministrator) und Azure-Abonnements (z. B. Administrator für rollenbasierte Zugriffssteuerung oder Key Vault Administrator) bereitstellen.	What is Microsoft Entra Privileged Identity Management?
   Cond Acc	Bedingter Zugriff ist ein intelligenter Sicherheitsdienst, der Richtlinien nutzt, die Sie für verschiedene Bedingungen definieren, um Benutzerzugriff zu blockieren oder zu gewähren.	Was ist bedingter Zugriff?

Komponenten

• Microsoft Entra ID ist ein Identitäts- und Zugriffsverwaltungsdienst. In dieser Architektur verwaltet dieses System Benutzeridentitäten und den Zugriff auf externe Ressourcen wie Microsoft 365 und das Azure-Portal sowie interne Ressourcen wie Apps in Ihrem Unternehmensintranetnetzwerk.

• Azure Virtual Network ist ein Netzwerkdienst, der die sichere Kommunikation zwischen Azure Ressourcen, dem Internet und lokalen Netzwerken ermöglicht. In dieser Architektur stellt sie die private Netzwerkinfrastruktur bereit, die sichere Konnektivität und Isolation für Workloads unterstützt.

• Azure Load Balancer ist ein Layer-4-Lastenausgleichsdienst mit geringem Latenzaufwand für UDP- und TCP-Datenverkehr. Load Balancer ist ein zonenredundanter Dienst, der Millionen gleichzeitiger Flüsse verarbeiten kann. In dieser Architektur wird hohe Verfügbarkeit und Skalierbarkeit sichergestellt, indem eingehender und ausgehender Datenverkehr über Ressourcen im virtual network verteilt wird.

• Azure Virtual Machines ist eine Infrastruktur als Dienst (IaaS), die skalierbare Computeressourcen bereitstellt. In dieser Architektur hosten VMs Workloads, die eine direkte Kontrolle über das Betriebssystem und sicherheitskonfigurationen erfordern.

• Azure Kubernetes Service (AKS) ist ein verwalteter Container-Orchestrierungsdienst, der die Bereitstellung und Verwaltung von Kubernetes-Clustern vereinfacht. In dieser Architektur führt AKS containerisierte Anwendungen aus und bietet integrierte Features für Sicherheit, Governance und kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD).

• Virtual Desktop ist ein Desktop- und App-Virtualisierungsdienst, der Remotedesktops aus der Cloud bereitstellt. Diese Architektur bietet sicheren Zugriff auf Unternehmensdesktops für Remotebenutzer und enthält integrierte Funktionen wie RDP Shortpath und Reverse Connect.

• Die Web Apps-Funktion von App Service hosten Webanwendungen, REST-APIs und mobile Back-Ends. In dieser Architektur hostet Web Apps HTTP-basierte Anwendungen und stellt Sicherheitsfeatures wie TLS und private Endpunkte bereit. Sie können sich in Ihrer gewählten Sprache entwickeln. Anwendungen werden sowohl in Windows- als auch in Linux-basierten Umgebungen ausgeführt und skaliert.

• Azure Storage ist eine skalierbare und sichere storage Lösung für verschiedene Datentypen, einschließlich Blobs, Dateien, Warteschlangen und Tabellen. In dieser Architektur speichert sie Anwendungs- und Systemdaten mit ruhender Verschlüsselung und unterstützt sichere access über SAS-Token und private Endpunkte.

• SQL-Datenbank ist ein verwalteter relationaler Datenbankdienst, der Patching, Sicherungen und Überwachung automatisiert. In dieser Architektur wird sichere und konforme Datenspeicherung über Funktionen wie transparente Datenverschlüsselung, Auditierung und Sicherheitsrisikobewertungen bereitgestellt.

• Microsoft Fabric ist eine einheitliche SaaS-Analyseplattform, die Datentechnik, Data Warehouse, Echtzeitanalyse und Business Intelligence vereint. In dieser Architektur können Sie Fabric für Analyseworkloads einführen, die gesteuerte Arbeitsbereiche, die OneLake-Verschlüsselung im Ruhezustand, rollenbasierten Zugriff auf Elementebene und eine zentralisierte Aktivitätsprotokollierung benötigen, während Betriebsdaten in Diensten wie Azure SQL Database verbleiben.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Rudnei Oliveira | Senior Azure Security Engineer

Andere Mitwirkende:

• Gary Moore | Programmierer/Autor
• Andrew Nathan | Senior Customer Engineering Manager
• Filipe Moreira | Cloud-Lösungsarchitekt

Nächste Schritte

Microsoft verfügt über weitere Dokumentationen, die Ihnen dabei helfen können, Ihre IT-Umgebung zu sichern, und die folgenden Artikel können besonders hilfreich sein:

• Security im Microsoft Cloud Adoption Framework für Azure. Die Cloud Adoption Framework bietet Sicherheitsleitfaden für Ihre Cloud-Reise, indem die Prozesse, bewährten Methoden, Modelle und Erfahrungen klargestellt werden.
• Microsoft Azure Well-Architected Framework. Das Azure Well-Architected Framework ist eine Reihe von Leitsätzen, die Sie verwenden können, um die Qualität einer Workload zu verbessern. Das Framework basiert auf fünf Säulen: Zuverlässigkeit, Sicherheit, Kostenoptimierung, operative Exzellenz und Leistungseffizienz.
• Bewährte Methoden von Microsoft für die Sicherheit. Microsoft Security Best Practices (früher bekannt als Azure Security Compass oder Microsoft Security Compass) ist eine Sammlung bewährter Methoden, die klare, umsetzbare Anleitungen für sicherheitsbezogene Entscheidungen bieten.
• Referenzarchitekturen für Microsoft-Cybersicherheit (MCRA). MCRA ist eine Kompilierung verschiedener Microsoft-Sicherheitsreferenzarchitekturen.

In den folgenden Ressourcen finden Sie weitere Informationen zu den Diensten, Technologien und Terminologien, die in diesem Artikel erwähnt werden:

• Was sind öffentliche, private und hybride Clouds?
• Overview des Azure Security Benchmark (v3)
• Setzen Sie auf proaktive Sicherheit mit Zero Trust
• Microsoft 365-Abonnementinformationen
• Microsoft Defender XDR

Zugehörige Ressourcen

Weitere Informationen zu dieser Referenzarchitektur finden Sie in den anderen Artikeln dieser Reihe:

• Teil 1: Map-Bedrohungen für Ihre IT-Umgebung
• Teil 3: Build der zweiten Verteidigungsebene mit Microsoft Defender XDR-Sicherheitsdiensten
• Teil 4: Integration zwischen Azure und Microsoft Defender XDR-Sicherheitsdiensten