Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel beschreibt bewährte Best Practices für die Sicherheit von virtuellen Computern und Betriebssystemen.
Die bewährten Methoden stammen aus einer Meinungskonsens, und sie arbeiten mit den aktuellen Azure Plattformfunktionen und Featuresätzen zusammen. Da sich Meinungen und Technologien im Laufe der Zeit ändern können, wird dieser Artikel aktualisiert, um diese Änderungen widerzuspiegeln.
In den meisten Szenarien für Infrastruktur as a Service (IaaS) sind Azure virtual machines (VMs) der Hauptworkload für Organisationen, die Cloud Computing verwenden. Dies gilt in Hybridszenarien, in denen Organisationen Workloads nach und nach in die Cloud migrieren möchten. Orientieren Sie sich in solchen Szenarien an den allgemeinen Sicherheitsaspekten für IaaS, und wenden Sie bewährte Sicherheitsmethoden für alle Ihre virtuellen Computer an.
Schützen von virtuellen Computern mithilfe von Authentifizierung und access control
Um Ihre virtuellen Computer zu schützen, stellen Sie sicher, dass nur autorisierte Benutzer neue VMs einrichten und vorhandene virtuelle Computer access können.
Hinweis
Um die Sicherheit von Linux-VMs auf Azure zu verbessern, können Sie die Microsoft Entra-Authentifizierung integrieren. Wenn Sie Microsoft Entra-Authentifizierung für Linux-VMs verwenden, steuern und erzwingen Sie Richtlinien, die den Zugriff auf die virtuellen Maschinen zulassen oder verweigern.
Empfohlene Vorgehensweise: Kontrolle des VM-Zugriffs. Detail: Verwenden Sie Azure-Richtlinien, um Konventionen für Ressourcen in Ihrer Organisation einzurichten und angepasste Richtlinien zu erstellen. Wenden Sie diese Richtlinien auf Ressourcen an, z. B. Ressourcengruppen. Virtuelle Computer, die einer Ressourcengruppe angehören, erben deren Richtlinien.
Wenn Ihre Organisation über viele Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit, access, Richtlinien und Compliance für diese Abonnements effizient zu verwalten. Azure-Verwaltungsgruppen bieten eine höhere Ebene als Abonnements. Sie organisieren Abonnements in Verwaltungsgruppen (Containern) und wenden Ihre Governancebedingungen auf diese Gruppen an. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Gruppe angewendeten Bedingungen. Verwaltungsgruppen ermöglichen Ihnen – unabhängig von den Arten Ihrer Abonnements – die unternehmenstaugliche Verwaltung in großem Umfang.
Best Practice: Verringern Sie die Variabilität in Ihrer Installation und Bereitstellung von virtuellen Computern. Detail: Verwenden Sie Azure Resource ManagerVorlagen, um Ihre Bereitstellungsoptionen zu stärken und die VMs in Ihrer Umgebung leichter zu verstehen und zu inventarisieren.
Best Practice: Sichern Sie privilegierten Zugriff. Detail: Verwenden Sie das Prinzip des geringsten Privilegs und integrierte Azure-Rollen, damit Benutzer auf virtuelle Computer zugreifen und sie einrichten können.
- Virtual Machine Contributor: Kann virtuelle Computer verwalten, jedoch nicht das virtual network- oder storage-Konto, mit dem sie verbunden sind.
- Classic Virtual Machine Contributor: Kann virtuelle Computer verwalten, die mit dem klassischen Bereitstellungsmodell erstellt wurden, jedoch nicht das virtuelle Netzwerk oder das Speicherkonto, mit dem die virtuellen Computer verbunden sind.
- Security Admin: Nur In Defender für Cloud: Kann Sicherheitsrichtlinien anzeigen, Sicherheitszustände anzeigen, Sicherheitsrichtlinien bearbeiten, Warnungen und Empfehlungen anzeigen, Warnungen und Empfehlungen schließen.
- DevTest Labs User: Kann alles anzeigen, sich verbinden sowie virtuelle Maschinen starten, neu starten und herunterfahren.
Abonnementadministratoren und Co-Administratoren können diese Einstellung ändern und werden dadurch zu Administratoren aller virtuellen Maschinen in einem Abonnement. Erlauben Sie all Ihren Abonnementadministratoren und Co-Admins, sich an jedem Ihrer Geräte anzumelden.
Hinweis
Konsolidieren Sie virtuelle Computer mit demselben Lebenszyklus in derselben Ressourcengruppe. Ressourcengruppen ermöglichen die Bereitstellung und Überwachung Ihrer Ressourcen sowie die Zusammenfassung der Abrechnungskosten für Ihre Ressourcen.
Organisationen, die VM-access steuern und einrichten, verbessern ihre allgemeine VM-Sicherheit.
Verwendung von Virtual Machine Scale Sets von Azure für hohe Verfügbarkeit
Wenn Ihre VM kritische Anwendungen ausführt, die hohe Verfügbarkeit benötigen, verwenden Sie Virtual Machine Scale Sets.
mit Virtual Machine Scale Sets können Sie eine Gruppe von VMs mit Lastenausgleich erstellen und verwalten. Die Anzahl von VM-Instanzen kann automatisch erhöht oder verringert werden, wenn sich der Bedarf ändert, oder es kann ein Zeitplan festgelegt werden. Skalierungssätze bieten hohe Verfügbarkeit für Ihre Anwendungen, und Sie können viele virtuelle Computer zentral verwalten, konfigurieren und aktualisieren. Es gibt keine Kosten für den Skalierungssatz selbst, Sie zahlen nur für jede vm-Instanz, die Sie erstellen.
Sie können virtuelle Maschinen in einem Skalierungssatz in mehreren Verfügbarkeitszonen, einer einzelnen Verfügbarkeitszone oder regional bereitstellen.
Schutz vor Malware
Installieren Sie Antischadsoftwareschutz, um Viren, Spyware und andere schadhafte Software zu identifizieren und zu entfernen. Sie können Microsoft Antimalware oder die Endpunktschutz-Lösung eines Microsoft-Partners (Trend Micro, Broadcom, McAfee, Windows Defender und System Center Endpoint Protection) installieren.
Microsoft-Antischadsoftware umfasst Features wie Echtzeitschutz, geplante Überprüfungen, Malwareproblembehandlung, Signaturupdates, Engine-Updates, Beispielberichte und Sammlungen von Ausschlussereignissen. Verwenden Sie für Umgebungen, die getrennt von Ihrer Produktionsumgebung gehostet werden, eine Antischadsoftwareerweiterung, um Ihre virtuellen Computer und cloud services zu schützen.
Sie können Microsoft Antischadsoftware und Partnerlösungen mit Microsoft Defender for Cloud integrieren, um die Bereitstellung und integrierte Erkennungen (Warnungen und Vorfälle) zu vereinfachen.
Best Practice: Installieren Sie eine Antischadsoftware-Lösung zum Schutz vor Malware.
Detail: Installieren Sie eine Microsoft-Partnerlösung oder Microsoft Antimalware.
Beste Vorgehensweise: Integrieren Sie Ihre Anti-Malware-Lösung zum Überwachen des Status Ihres Schutzes in Defender für Cloud.
Detail: Verwalten Sie Probleme beim Endpunkt-Schutz mit Defender für Cloud
Verwalten Ihrer Updates für virtuelle Computer
Azure VMs wie alle lokalen VMs sollen vom Benutzer verwaltet werden. Azure windows-Updates werden nicht an sie übertragen. Sie müssen Ihre Updates für virtuelle Computer verwalten.
Best Practice: Halten Sie Ihre virtuellen Computer auf dem neuesten Stand.
Detail: Verwenden Sie die Lösung Update Management in Azure Automation, um Betriebssystemupdates für Ihre Windows- und Linux-Computer zu verwalten, die in Azure, in lokalen Umgebungen oder in anderen Cloudanbietern bereitgestellt werden. Sie können den Status der verfügbaren Updates auf allen Agent-Computern schnell auswerten und die Installation der für den Server erforderlichen Updates initiieren.
Verwenden Sie für Computer, die mit der Updateverwaltung verwaltet werden, die folgenden Konfigurationen, um Bewertungen und Updatebereitstellungen durchzuführen:
- Microsoft Monitoring Agent (MMA) für Windows oder Linux
- PowerShell Desired State Configuration (DSC) für Linux
- Automatisierung Hybrid Runbook Worker
- Microsoft Update oder Windows Server Update Services (WSUS) für Windows-Computer
Wenn Sie Windows Update verwenden, lassen Sie die Einstellung für das automatische Windows Update aktiviert.
Best Practice: Stellen Sie bei der Bereitstellung sicher, dass Images, die Sie erstellt haben, die neueste Runde von Windows-Updates enthalten.
Detail: Suchen Sie bei jeder Bereitstellung zuerst alle Windows-Updates, und installieren Sie sie. Dies ist besonders wichtig, wenn Sie Images bereitstellen, die von Ihnen selbst oder aus Ihrer eigenen Bibliothek stammen. Obwohl Bilder aus der Azure Marketplace standardmäßig automatisch aktualisiert werden, kann es nach einer öffentlichen Veröffentlichung einen Zeitabstand (bis zu ein paar Wochen) geben.
Best Practice: Stellen Sie in regelmäßigen Abständen Ihre virtuellen Computer erneut bereit, um eine neue Version des Betriebssystems zu erzwingen.
Detail: Definieren Sie Ihren virtuellen Computer mit einer Azure Resource Manager-Vorlage, damit Sie ihn problemlos erneut bereitstellen können. Mithilfe einer Vorlage erhalten Sie bei Bedarf eine gepatchte und sichere VM.
Bewährte Methode: Wenden Sie Sicherheitsupdates schnell auf virtuelle Computer an.
Detail: Aktivieren Sie Microsoft Defender for Cloud (Kostenlose Stufe oder Standardstufe), um fehlende Sicherheitsupdates zu identifizieren und diese zu installieren.
Best Practice: Installieren Sie die neuesten Sicherheitsupdates.
Detail: Einige der ersten Workloads, die Kunden zu Azure verschieben, sind Labore und externe Systeme. Wenn Ihre Azure-VMs Anwendungen oder Dienste hosten, auf die über das Internet zugegriffen werden muss, achten Sie sorgfältig darauf, regelmäßig Patches durchzuführen. Beschränken Sie sich beim Patchen nicht nur auf das Betriebssystem. Ungepatchte Sicherheitsrisiken in Partneranwendungen können ebenfalls zu Problemen führen, die mit einer guten Patchverwaltung vermeidbar sind.
Best Practice: Stellen Sie eine Sicherungslösung bereit, und testen Sie sie.
Detail: Eine Sicherung muss in gleicher Weise behandelt werden wie alle anderen Vorgänge. Diese Handhabung gilt für Systeme, die Teil Ihrer Produktionsumgebung sind, die auf die Cloud erweitert werden.
Für Test- und Entwicklungssysteme müssen Sicherungsstrategien mit Wiederherstellungsfunktionen verwendet werden, die sich an den Erfahrungen orientieren, die Benutzer bereits mit lokalen Umgebungen gemacht haben. Produktionsworkloads, die auf Azure verschoben wurden, sollten nach Möglichkeit in vorhandene Sicherungslösungen integriert werden. Alternativ können Sie Azure Backup verwenden, um Ihre Sicherungsanforderungen zu erfüllen.
Organisationen, die keine Softwareupdaterichtlinien erzwingen, sind anfälliger für Angreifer, die sich bekannte, bereits korrigierte Sicherheitslücken zunutze machen. Unternehmen müssen zur Erfüllung von Branchenbestimmungen nachweisen, dass sie gewissenhaft arbeiten und geeignete Sicherheitsmaßnahmen ergreifen, um die Sicherheit ihrer Workloads in der Cloud zu gewährleisten.
Bewährte Methoden für Softwareupdates für ein herkömmliches Rechenzentrum und Azure IaaS weisen viele Ähnlichkeiten auf. Bewerten Sie Ihre aktuellen Softwareupdaterichtlinien, um VMs in Azure einzuschließen.
Verwalten des Sicherheitsstatus Ihrer virtuellen Computer
Cyberthreats entwickeln sich immer weiter. Zum Schutz Ihrer virtuellen Maschinen ist eine Überwachungsfunktion erforderlich, mit der Bedrohungen schnell erkannt, unbefugter Zugriff auf Ihre Ressourcen verhindert, Warnungen ausgelöst und Fehlalarme reduziert werden können.
Um den Sicherheitsstatus Ihrer Windows und Linux VMs zu überwachen, verwenden Sie Microsoft Defender for Cloud. Zum Schutz Ihrer virtuellen Computer stehen Ihnen in Defender für Cloud folgende Funktionen zur Verfügung:
- Anwenden von Sicherheitseinstellungen des Betriebssystems mit empfohlenen Konfigurationsregeln.
- Ermitteln und Herunterladen sicherheitsrelevanter und wichtiger Updates, die möglicherweise noch fehlen.
- Bereitstellen von Empfehlungen zum Schutz von Endpunkten vor Schadsoftware.
- Überprüfen der Datenträgerverschlüsselung.
- Bewerten und Beseitigen von Sicherheitsrisiken.
- Erkennen von Bedrohungen.
Defender für Cloud kann aktiv auf Bedrohungen überwachen und Sicherheitswarnungen potenzielle Bedrohungen offenlegen. Korrelierte Bedrohungen werden in einer zentralen Ansicht namens „Sicherheitsvorfall“ aggregiert.
Defender für Cloud speichert Daten in Azure Monitor-Protokollen. Azure Überwachungsprotokolle bieten eine Abfragesprache und ein Analysemodul, das Ihnen Einblicke in den Betrieb Ihrer Anwendungen und Ressourcen bietet. Daten werden auch aus Azure Monitor, Verwaltungslösungen und Agents gesammelt, die auf virtual machines in der Cloud oder lokal installiert sind. Dadurch erhalten Sie ein vollständiges Bild von Ihrer gesamten Umgebung.
Wenn Sie keine starke Sicherheit für Ihre virtuellen Computer durchsetzen, sind Sie sich potenziellen Versuchen, die unautorisierte Benutzer unternehmen, um Sicherheitskontrollen zu umgehen, nicht bewusst.
Überwachen der Leistung virtueller Computer
Ressourcenmissbrauch kann problematisch sein, wenn Prozesse von virtuellen Computern mehr Ressourcen beanspruchen als sie sollten. Leistungsprobleme bei einem virtuellen Computer können zu einer Dienstunterbrechung führen und gegen das Sicherheitsprinzip der Verfügbarkeit verstoßen. Dieses Problem ist besonders wichtig für VMs, die IIS oder andere Webserver hosten, da eine hohe CPU- oder Speicherauslastung auf einen Denial-of-Service-Angriff (DoS) hindeuten kann. Es ist zwingend erforderlich, den VM-Zugriff nicht nur reaktiv zu überwachen, während ein Problem auftritt, sondern auch proaktiv gegenüber der Baseline-Leistung, wie sie während des regulären Betriebsablaufs gemessen wird.
Verwenden Sie Azure Monitor, um Einblicke in den Zustand Ihrer Ressource zu erhalten. Azure Monitor-Funktionen:
- Resource-Diagnoseprotokolldateien: Überwacht Ihre VM-Ressourcen und identifiziert potenzielle Probleme, die die Leistung und Verfügbarkeit beeinträchtigen könnten.
- Azure Diagnostics erweiterung: Stellt Überwachungs- und Diagnosefunktionen auf Windows-VMs bereit. Sie können diese Funktionen aktivieren, indem Sie die Erweiterung als Teil der Vorlage Azure Resource Manager einschließen.
Wenn Sie die VM-Leistung nicht überwachen, können Sie nicht ermitteln, ob bestimmte Änderungen in Leistungsmustern normal oder abnorm sind. Ein virtueller Computer, der mehr Ressourcen verbraucht als normal, kann auf einen Angriff von einer externen Ressource oder auf einen kompromittierten Prozess hinweisen, der auf dem virtuellen Computer ausgeführt wird.
Verschlüsseln Ihrer VHD-Dateien
Verschlüsseln Sie Ihre virtuellen Festplatten (VHDs), um das Startvolume und ruhende Datenvolumes im Speicher sowie Ihre Verschlüsselungsschlüssel und Geheimnisse zu schützen.
Von Bedeutung
Azure Disk Encryption wird am September 15, 2028 eingestellt. Bis zu diesem Datum können Sie Azure Disk Encryption ohne Unterbrechung weiter verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.
Verwenden Sie encryption auf host für neue VMs. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Weitere Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host.
Encryption auf host stellt standardmäßig End-to-End-Verschlüsselung für Ihre VM-Daten bereit, verschlüsselt temporäre Datenträger, Betriebssystem- und Datenträgercaches sowie Datenflüsse zu Azure Storage. Standardmäßig verwendet die Verschlüsselung auf dem Host plattformverwaltete Schlüssel ohne zusätzliche Konfiguration. Optional können Sie die Lösung so konfigurieren, dass in Azure Key Vault oder Azure Key Vault Verwaltete HSM gespeicherte vom Kunden gespeicherte Schlüssel verwendet werden, wenn Sie Ihre eigenen Datenträgerverschlüsselungsschlüssel steuern und verwalten müssen. Die Lösung stellt sicher, dass alle Daten auf den virtuellen Computerdatenträgern in Azure Storage verschlüsselt werden.
Die folgenden bewährten Methoden helfen Ihnen bei der Verwendung der Verschlüsselung auf dem Host:
Bewährte Methode: Standardmäßig aktivieren Sie die Verschlüsselung auf virtuellen Computern auf Host.
Detail: Die Verschlüsselung auf host ist standardmäßig für neue VMs aktiviert und bietet transparente Verschlüsselung mithilfe von plattformverwalteten Schlüsseln, ohne dass eine zusätzliche Konfiguration erforderlich ist. Wenn Sie sich dafür entscheiden, vom Kunden verwaltete Schlüssel zu verwenden, speichern Sie diese in Azure Key Vault oder Azure Key Vault verwalteten HSM. Microsoft Entra-Authentifizierung ist für access erforderlich. Zu Authentifizierungszwecken können Sie die auf einem geheimen Clientschlüssel basierende Authentifizierung oder die auf einem Clientzertifikat basierende Microsoft Entra-Authentifizierung verwenden.
Bewährte Methode: Verwenden Sie bei der Verwendung von vom Kunden verwalteten Schlüsseln einen Schlüsselverschlüsselungsschlüssel (KEK) für eine zusätzliche Sicherheitsebene für Verschlüsselungsschlüssel.
Detail: Verwenden Sie bei Verwendung von vom Kunden verwalteten Schlüsseln das Cmdlet Add-AzKeyVaultKey, um einen Schlüsselverschlüsselungsschlüssel in Azure Key Vault oder verwaltetem HSM zu erstellen. Sie können einen KEK auch aus Ihrem lokalen Hardwaresicherheitsmodul (HSM) importieren. Weitere Informationen finden Sie in der dokumentation Key Vault. Wenn Sie einen Schlüsselverschlüsselungsschlüssel angeben, verwendet die Verschlüsselung auf dem Host diesen Schlüssel, um die geheimen Verschlüsselungsschlüssel umzuschließen. Die Aufbewahrung einer Escrow-Kopie dieses Schlüssels in einem lokalen HSM (Hardware Security Module) des Schlüsselverwaltungssystems bietet zusätzlichen Schutz vor versehentlicher Löschung von Schlüsseln.
Best Practice: Erstellen Sie ein Snapshot und/oder Backup, bevor Sie Änderungen an der Verschlüsselungskonfiguration vornehmen. Sicherungen bieten eine Wiederherstellungsoption, wenn ein unerwarteter Fehler auftritt.
Detail: Sichern Sie virtuelle Computer regelmäßig mit managed disks. Weitere Informationen zum Sichern und Wiederherstellen verschlüsselter VMs finden Sie im Artikel Azure Backup.
Bewährte Methode: Stellen Sie bei der Verwendung von vom Kunden verwalteten Schlüsseln sicher, dass die Verschlüsselungsgeheimnisse keine regionalen Grenzen überschreiten, indem Sie Ihren Schlüsselverwaltungsdienst und VMs in derselben Region suchen.
Detail: Erstellen und verwenden Sie bei Verwendung von vom Kunden verwalteten Schlüsseln ein key vault oder verwaltetes HSM, das sich in derselben Region wie die zu verschlüsselnde VM befindet.
Wenn Sie verschlüsselung auf Host anwenden, können Sie die folgenden geschäftlichen Anforderungen erfüllen:
- Virtuelle IaaS-Computer werden im Ruhezustand mit Verschlüsselungstechnologie nach Branchenstandard geschützt, um die Anforderungen an Unternehmenssicherheit und Compliance zu erfüllen.
- IaaS-VMs beginnen unter vom Kunden gesteuerten Schlüsseln und Richtlinien, und Sie können ihre Nutzung in Ihrem Schlüsselverwaltungsdienst überwachen.
Einschränken der direkten Internetverbindung
Überwachen Sie die direkte Internetverbindung von VMs und schränken Sie diese ein. Angreifer scannen ständig öffentliche Cloud-IP-Bereiche für offene Verwaltungsports und versuchen "einfache" Angriffe wie gängige Kennwörter und bekannte nicht gepatchte Sicherheitsrisiken. Die folgende Tabelle enthält bewährte Methoden zum Schutz vor diesen Angriffen:
Bewährte Methode: Verhindern Sie eine unbeabsichtigte Offenlegung von Netzwerkrouting und -sicherheit.
Detail: Verwenden Sie Azure RBAC, um sicherzustellen, dass nur die zentrale Netzwerkgruppe über die Berechtigung für Netzwerkressourcen verfügt.
Best practice: Identifizieren und Beheben offengelegter VMs, die Zugriff von "beliebiger" Quell-IP-Adresse zulassen.
Detail: Verwenden Sie Microsoft Defender for Cloud. Defender für Cloud empfiehlt, den Zugriff über Endpunkte mit Internetzugriff einzuschränken, wenn eine Ihrer Netzwerksicherheitsgruppen eine oder mehrere eingehende Regeln hat, die den Zugriff von "beliebiger" Quell-IP-Adresse zulassen. Defender für Cloud empfiehlt, diese eingehenden Regeln zu bearbeiten, um den Zugriff auf Quell-IP-Adressen einzuschränken, die tatsächlich Zugriff benötigen.
Best Practices: Beschränken Sie Verwaltungsports (RDP, SSH).
Detail: Verwenden Sie just-in-time(JIT)-VM-access, um eingehenden Datenverkehr für Ihre Azure VMs zu sperren. Es reduziert die Exposition gegenüber Angriffen und bietet bei Bedarf einfachen Zugriff, um eine Verbindung zu virtuellen Maschinen herzustellen. Wenn Sie JIT aktivieren, wird der eingehende Datenverkehr zu Ihren Azure-VMs von Defender für Cloud gesperrt, indem eine Netzwerksicherheitsgruppenregel erstellt wird. Sie wählen die Ports auf dem virtuellen Computer aus, an den eingehender Datenverkehr gesperrt ist. Die JIT-Lösung steuert diese Ports.
Nächste Schritte
Weitere bewährte Methoden zur Sicherheit beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure finden Sie unter Azure bewährte Methoden und Muster für Sicherheit.
Die folgenden Ressourcen enthalten allgemeinere Informationen zu Azure Sicherheit und verwandten Microsoft-Diensten:
- Azure Security Team Blog - für aktuelle Informationen über die neuesten Entwicklungen in der Azure-Sicherheit
- Microsoft Security Response Center – wo Sie Sicherheitsrisiken von Microsoft melden können, einschließlich Problemen mit Azure, oder senden Sie eine E-Mail an secure@microsoft.com