Die Cloud hat die Art und Weise, wie Unternehmen ihre Sicherheit verwalten, neu definiert und erfordert mehr Wachsamkeit und mehrschichtige Sicherheitsimplementierungen, unabhängig davon, ob es sich um in der Cloud entwickelte Anwendungen oder die Migration von Workloads von lokalen Standorten handelt.
Als einer der führenden Cloud-Dienstanbieter verfügt Microsoft Azure über eine Vielzahl von Diensten und Tools, die Sie bei der Bewältigung dieser neuen Herausforderungen unterstützen. Dennoch ist die Sicherheit in der Cloud eine gemeinsame Verantwortung. Obwohl einige Faktoren wie die physische Sicherheit von Vermögenswerten, OS (im Fall von PaaS-Diensten) oder der Anwendungs-Stack (im Fall von SaaS) vom Cloud-Dienstanbieter übernommen werden, ist die Sicherheit von Daten, Endgerät und Konto von Ihnen abhängig und Zugangsverwaltung liegen weiterhin in der Verantwortung des Kunden.
Die Azure-Plattform bietet eine Reihe von Diensten, die grob in die Bereitstellungsmodelle Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) eingeteilt werden können. Es unterstützt mehrere Betriebssysteme, Anwendungs-Stacks, die beliebtesten DB-Plattformen und Container-Hosting-Lösungen. Unabhängig davon, ob Ihre Anwendung mit .NET, PHP, Python, Node.JS, Java, MySQL, SQL, MariaDB, Docker oder Kuberneteserstellt wurde – sie kann in Azure ein Zuhause finden.
Wenn Sie Anwendungen vom vollständig von Ihnen verwalteten Rechenzentrum nach Azure migrieren, sind Sie in hohem Maße auf die Plattform angewiesen, um diese Arbeitslasten zu schützen. Das Shared-Responsibility-Modell für Sicherheit wird hier also für die Abgrenzung von Rollen und Verantwortlichkeiten sehr relevant.
Microsoft ist Eigentümer der physischen Infrastruktur der Azure-Plattform und kümmert sich um deren Sicherheit. Dabei werden verschiedene Aspekte wie das physische Rechenzentrum, die Zugangskontrolle, obligatorische Sicherheitsschulungen für das Personal, Hintergrundüberprüfungen usw. abgedeckt. Bei der Bereitstellung von Workloads auf der Azure-Plattform sollte jedoch eine Aufteilung der Verantwortlichkeiten – zwischen Ihnen und Ihrem Anbieter – berücksichtigt werden, wie unten zusammengefasst:
Wie in der Abbildung oben dargestellt, werden einige Sicherheitsaufgaben, unter anderem für das physische Rechenzentrum, das Netzwerk und den Host, von Cloud-Anbietern übernommen. Aber je nachdem, ob Sie ein IaaS-, PaaS- oder SaaS-Modell verwenden, müssen Sie den OS Anwendungsstapel und zusätzliche Sicherheitsanforderungen auf Netzwerkebene berücksichtigen.
Die Sicherheitsanforderungen jedes Unternehmens sind einzigartig und erfordern umfangreiche Anpassungen, um die Sicherheit jedes einzelnen Workloads zu gewährleisten. Fortschrittliche Bedrohungsvektoren in der Cloud erfordern einen Zero-Trust-Sicherheitsansatz, bei dem standardmäßig nichts vertrauenswürdig ist und alles überprüft wird. Dieser proaktive Ansatz zur Cloud-Sicherheit trägt dazu bei, die Angriffsfläche zu verringern und den Schaden im Falle eines Angriffs zu begrenzen.
Sicherheit muss auf jeder Ebene Ihres Anwendungsstapels implementiert werden, angefangen bei der Datenverarbeitung, Speicherung und Vernetzung bis hin zu anwendungsspezifischen Kontrollen und Identitäts- und Zugriffsverwaltung. Ein Einblick in den Sicherheitsstatus Ihrer Umgebung ist ebenfalls wichtig, da für einen optimalen Schutz jede böswillige Aktivität in Echtzeit erkannt werden muss.
Azure ermöglicht Workload-Sicherheit durch mehrere konfigurierbare Tools und Dienste, die Sie nutzen können, um unterschiedliche Sicherheitsanforderungen zu erfüllen und Ihren Cloud-Sicherheitsstatus zu verbessern. Sie können gegebenenfalls auch Sicherheitslösungen von Partnern nutzen, um diese Haltung weiter zu stärken.
Security Center ist die zentralisierte Sicherheitsverwaltungslösung von Azure, mit der Sie Ihre Sicherheitskontrollen an eine sich ändernde Bedrohungslandschaft anpassen und Ihr Unternehmen proaktiv vor verschiedenen Arten von Angriffen schützen können. Azure-Dienste werden automatisch in Security Center integriert und anhand definierter Sicherheitsgrundlinien überwacht. Zur Überwachung des Status Ihres Azure-Abonnements und der darin enthaltenen Ressourcen können sowohl standardmäßige als auch maßgeschneiderte Richtlinien verwendet werden. Basierend auf der kontinuierlichen Bewertung Ihrer Azure-Umgebungen bietet Security Center umsetzbare Empfehlungen, die zur proaktiven Behebung von Sicherheitslücken genutzt werden können.
Azure Security Center bietet außerdem umfassenden Bedrohungsschutz und nutzt die Cyber-Kill-Chain-Analyse, um Ihnen einen umfassenden Einblick in den Angriffsvektor zu verschaffen. Sie können zusätzlich Microsoft Defender für Endgeräte nutzen, um Ihre Azure-Server zu schützen. Es bietet fortschrittliche Sensoren zur Erkennung von Sicherheitsverletzungen, die sich mithilfe von Big Data und Analysen schnell an neue Bedrohungen anpassen und erstklassige Bedrohungsinformationen zum Schutz Ihrer Workloads bereitstellen.
Darüber hinaus machen die automatisierte Onboarding-Funktion für Windows-Server und die zentrale Sichtbarkeit den Cloud-Sicherheitsteams das Leben leichter, indem sie den Betriebsaufwand reduzieren. Azure Security Center lässt sich für umfassende Sicherheit auch in Lösungen wie Azure Policy, Azure Monitor Logs und Azure Cloud App Security integrieren.
Bedrohungen in der Cloud sind nicht dasselbe wie vor Ort. Die Cloud benötigt „born-in-the-Cloud -Lösungen, um Sicherheitshygiene zu gewährleisten und sicherzustellen, dass die besten Sicherheitspraktiken implementiert werden. Das Cloud-Sicherheit Posture Management von Azure hilft Ihnen dabei und ermöglicht Ihnen die proaktive Verwaltung Ihrer Sicherheits-Workloads in Azure.
Die Option „Sicherheitsbewertung“ in Security Center hilft dabei, den Sicherheitsstatus Ihrer Umgebungen mithilfe mehrerer vorgefertigter Sicherheitskontrollen zu quantifizieren, anhand derer die Umgebungen bewertet werden. Wenn eine dieser Kontrollen nicht implementiert ist oder Fehlkonfigurationen vorliegen, bietet Security Center präskriptive Empfehlungen zur Verbesserung Ihrer Punktzahl. Unterdessen bewertet der Regulatory Compliance Score Workloads anhand von Standards wie PCI DSS, HIPAA, Azureeigenem CIS und NIST und hilft Ihnen dabei, eine Bestandsaufnahme Ihres offiziellen Compliance-Status zu machen.
Security Center ermöglicht CSPM , indem es Schwachstellen aus der Vogelperspektive anzeigt und Warnungen zu potenziellen Angriffen generiert. Jede Warnung ist mit einem Schweregrad gekennzeichnet, sodass Sie Abhilfemaßnahmen priorisieren können. Neben Cloud-nativen Workloads, IoT-Diensten und Datendiensten kann Security Center Windows- und Linux-Maschinen umgebungsübergreifend vor Bedrohungen schützen und so die Angriffsfläche verringern.
Mit der zunehmenden Verbreitung von Cloud-Anwendungen wird es immer schwieriger, alle Ihre Apps zu überwachen und sichere Datentransaktionen sicherzustellen. Azure hilft, dieses Problem durch eine Cloud-Sicherheit-Brokerlösung namens Microsoft Cloud App Security anzugehen.
Dieses Tool schützt vor Schatten-IT, indem es Ihnen hilft, die von Ihrem Unternehmen genutzten Cloud-Dienste zu erkennen und alle damit verbundenen Risiken zu identifizieren. Mit den integrierten Richtlinien des Dienstes können Sie die Implementierung von Sicherheitskontrollen für Cloud-Anwendungen automatisieren. Darüber hinaus können Sie Apps über die Cloud-App-Katalogfunktion sanktionieren oder aufheben, die mehr als 16.000 Anwendungen abdeckt und diese anhand von über 80 Risikofaktoren bewertet können eine fundierte Entscheidung darüber treffen, welche Art von Apps Sie in Ihrer Organisation zulassen möchten.
Cloud App Security bietet außerdem Einblick in Ihre Anwendung und deren Sicherheitsstatus und kontrolliert, wie Daten zwischen ihnen übertragen werden. Es kann auch ungewöhnliches Verhalten erkennen, um kompromittierte Anwendungen zu identifizieren und eine automatische Korrektur auszulösen, um das Risiko zu reduzieren. Sie können Ihre Anwendung weiter auf Compliance gesetzlicher Vorschriften prüfen und die Übertragung von Daten auf nicht konforme Apps beschränken. Darüber hinaus werden alle regulierten Daten in Ihren Apps vor unbefugtem Zugriff geschützt.
Die native Integration mit anderen Microsoft-Sicherheitslösungen bietet beispiellose Bedrohungsinformationen und detaillierte Analysen, um Ihre Anwendung vor verschiedenen Arten von Angriffen in der Cloud zu schützen.
Azure Security Center bietet Sicherheits-Baselining und -Bewertung von Container-Hosting-Umgebungen wie AKS sowie VMs, auf denen Docker ausgeführt wird, um potenzielle Fehlkonfigurationen und Sicherheitslücken zu identifizieren. Die Härtung von Docker-Umgebungen wird durch die Überwachung anhand von CIS-Benchmarks mit im Security Center konsolidierten Empfehlungen ermöglicht. Ebenso sind Überwachung und erweiterte Bedrohungserkennung für AKS-Knoten und -Cluster verfügbar. Sie können auch das Azure-Richtlinien-Add-on für Kubernetes-Cluster aktivieren, um Anforderungen für Kubernetes-API-Server anhand definierter Best Practices zu überwachen, bevor Sie sie bearbeiten.
In der Zwischenzeit schützt Azure Defender AKS-Knoten und -Cluster vor Schwachstellen und Infiltration zur Laufzeit, indem es verdächtige Aktivitäten wie Web-Shell-Erkennung, Verbindungsanfragen von verdächtigen IPs, Bereitstellung privilegierter Container usw. erkennt. Azure Defender enthält außerdem eine Qualys-Integration zum Scannen von gezogenen oder gepushten Bildern zu Azure Container Registry. Alle Ergebnisse werden im Security Center klassifiziert und angezeigt, sodass Sie zwischen gesunden und fehlerhaften Bildern unterscheiden können.
NSGs fungieren als erste Netzwerkverteidigungslinie für Arbeitslasten, die mit Azure VNets verbunden sind. Es filtert ein- und ausgehenden Datenverkehr über fünf Tupelregeln unter Verwendung von Quelle, Quellport, Ziel, Zielport und Protokoll. Diese Gruppen können Subnetzen oder den NIC-Karten von Virtuelle Maschine zugeordnet werden und verfügen über einige Standardregeln, um die Kommunikation zwischen Netzwerken und den Internetzugang zu ermöglichen. Netzwerk-Sicherheitsgruppen ermöglichen Ihnen außerdem eine detaillierte Kontrolle über den Ost-West- und Nord-Süd-Verkehr und helfen bei der Trennung der Kommunikation Ihrer Anwendungskomponenten.
Azure VNet ist der Grundbaustein des Netzwerks in Azure und hilft bei der Mikrosegmentierung von Workloads und ermöglicht die sichere Kommunikation verbundener Workloads mit anderen Azure-Ressourcen, lokalen Ressourcen und dem Internet. Ressourcen in einem Azure-VNet können standardmäßig nicht mit Ressourcen in einem anderen VNet kommunizieren, es sei denn, sie sind explizit über Optionen wie Peering, VPN, Private Link usw. verbunden. Eine weitere Sicherheitsebene kann hinzugefügt werden, indem NSGs in Subnetzen innerhalb des VNet aktiviert werden. Darüber hinaus können Sie Traffic Shaping innerhalb des VNet verwenden, indem Sie benutzerdefinierte Routing-Tabellen erstellen, wenn Sie beispielsweise möchten, dass der gesamte Datenverkehr zur Paketprüfung über eine virtuelle Netzwerk-Appliance weitergeleitet wird.
Mit Azure VPN können Sie vom lokalen Rechenzentrumsnetzwerk über eine Site-to-Site-Verbindung oder von einzelnen Computern über eine Point-to-Site-Verbindung eine sichere Verbindung zu Azure-Ressourcen herstellen. Der Datenverkehr zu Azure erfolgt über das Internet, jedoch durch einen sicheren, verschlüsselten Tunnel mit SSTP, OpenVPN oder IPSec. Während eine VPN-Verbindung in Zweigstellenszenarien gut funktioniert, können sich Kunden für eine durch Azure SLAs abgesicherte Konnektivität für ExpressRoute entscheiden, eine dedizierte Verbindung von Ihrem lokalen Rechenzentrum zur Azure Cloud.
Azure Anwendung Gateway ist ein Lastenausgleich, der auf der Anwendungsschicht (OSI-Schicht 7) arbeitet und den Datenverkehr basierend auf HTTP-Attributen an Ressourcen im Back-End-Pool umleitet. Es verfügt über eine Web Application Firewall (WAF), die Ihre Anwendung vor häufigen Angriffen wie SQL-Injection-Angriffen, Cross-Site-Scripting, HTTP-Anforderungsaufteilung, Remote-Dateieinbindung usw. schützt. Es verfügt über einen vordefinierten Satz an Sicherheitsregeln, bietet aber auch die Flexibilität, Ihre eigenen Regeln zu definieren. Der Dienst basiert auf dem OWASP ModSecurity Core Rule Set und ist in der Lage, sich automatisch zu aktualisieren, um Ihre Anwendung vor neuen und sich entwickelnden Schwachstellen zu schützen.
In einer Cloud-gesteuerten Welt hat sich Identität zum neuen Sicherheitsperimeter entwickelt. Azure bietet eine rollenbasierte Zugriffskontrolle (RBAC), die durch Azure Active Directory (AD) aktiviert wird, um den Zugriff auf gehostete Anwendungen zu steuern. Es wird empfohlen, das Prinzip der geringsten Rechte (PoLP) zu befolgen, damit Benutzer nur den für ihre Arbeit erforderlichen Mindestzugriff erhalten. Diese Autorisierung wird durch die dem Benutzer zugewiesene Rolle bestimmt. Dabei kann es sich entweder um eine der integrierten Rollen oder eine vom Administrator definierte benutzerdefinierte Rolle handeln.
Sie können IAM durch Optionen wie Just-in-Time-Zugriff (JIT) für VMs, Shared Access Signature für Speicher, mehrstufige Authentifizierung usw. weiter optimieren. Es ist außerdem wichtig, Benutzeraktivitäten mithilfe von Azure AD-Überwachungsprotokollen und Azure-Aktivitätsprotokollen zu protokollieren und zu verfolgen, um kompromittierte Identitäten und betrügerische Benutzer zu identifizieren.
Während native Tools und Dienste oft einen guten Ausgangspunkt bieten, benötigen Sie auch Tools mit erweiterten Funktionen, um Ihre Anwendung vor sich entwickelnden Bedrohungsakteuren in der Cloud zu schützen. Um eine umfassende Cloud-Sicherheit zu gewährleisten, sind folgende Zusatzfunktionen unerlässlich:
CloudGuard kann Ihnen bei all dem oben genannten helfen, da es mit diesen Funktionen vorinstalliert ist. Es lässt sich nahtlos in Ihre Azure-nativen Tools integrieren und erhöht die Sicherheit Ihrer in Azure gehosteten Daten und Workloads.
Lesen Sie noch heute mehr darüber, wie CloudGuard Ihnen dabei helfen kann, Ihre Cloud-Sicherheitsziele zu erreichen.