Microsoft Azure Security Best Practices

Microsoft Azure ist für viele Unternehmen auf der ganzen Welt der Eckpfeiler der Cloud-Infrastruktur. Geschäftskritische Workloads, die von verteilten Kubernetes-Clustern über .NET-Anwendungen bis hin zu Software-as-a-Service-Produkten (SaaS) reichen, werden auf Azure ausgeführt. Daher ist es für Unternehmen, die auf die Cloud-Plattform von Microsoft angewiesen sind, ein Muss, die Besonderheiten der Azure-Sicherheits-Best Practices zu kennen.

Hier geben wir einen Überblick über die Azure-Sicherheit, werfen einen detaillierten Blick auf Best Practices für die Azure-Cloud und besprechen, wie Check Point Ihnen dabei helfen kann, Ihre allgemeine Azure-Sicherheitslage zu verbessern.

Mehr erfahren Azure Security Blueprint

Best Practices für die Microsoft Azure-Sicherheit für 2021

Da es eine so große Vielfalt an Azure-Diensten gibt, gibt es kein allgemeingültiges „Sicherheitsrezept“, das sicherstellt, dass Sie Ihre Sicherheitslage optimiert haben. Wenn Sie jedoch die verschiedenen Aspekte von Azure in spezifischere Kategorien unterteilen, werden Sie umsetzbare Best Practices entdecken, die Sie implementieren können. Schauen wir uns diese Kategorien und die daraus resultierenden Best Practices für die Azure-Sicherheit an.

Aber zuerst die Voraussetzungen: Das Shared-Responsibility-Modell und das Prinzip der geringsten Privilegien

Bevor Sie sich mit bestimmten Best Practices für die Azure-Sicherheit befassen, stellen Sie sicher, dass Sie das grundlegende Sicherheitsparadigma auf der Plattform verstehen: das Modell der gemeinsamen Verantwortung von Azure.

 

Kurz gesagt bedeutet das Modell der geteilten Verantwortung, dass Microsoft für die Sicherheit der Cloud verantwortlich ist, während Sie für die Sicherheit in der Cloud verantwortlich sind. Die Abgrenzung zwischen beiden variiert je nach Produkttyp. Beispielsweise ist Microsoft bei einer SaaS-App für die Sicherheit des Betriebssystems verantwortlich. Bei einem Infrastructure-as-a-Service-Produkt (IaaS) sind Sie jedoch für die Sicherheit des Betriebssystems verantwortlich. Es ist wichtig zu verstehen, wo diese Trennlinie für Ihre Azure-Infrastruktur verläuft.

 

Darüber hinaus sollten Sie in allen Fällen das Prinzip der geringsten Rechte befolgen. Auch wenn die Art und Weise, wie Sie das Prinzip der geringsten Rechte umsetzen, je nach Ihren Arbeitslasten und Apps unterschiedlich sein wird, bleibt die Idee dieselbe: Gewähren Sie Benutzern, Geräten, Apps und Diensten nur den Zugriff, den sie benötigen, und nicht mehr. Beispielsweise können und sollten Sie bei einer Azure-Datenbank, anstatt jedem Lesezugriff auf die gesamte Datenbank zu gewähren, Sicherheit auf Zeilenebene verwenden, um den Zugriff auf Datenbankzeilen zu beschränken.

Checkliste mit Best Practices für die Azure-Sicherheit

Nachdem die Voraussetzungen geklärt sind, stürzen wir uns in die Checkliste. Wir werfen einen Blick auf einzelne Aspekte von Azure und stellen spezifische umsetzbare Elemente bereit, anhand derer Ihr Team prüfen kann.

Verschlüsselung und Datensicherheit

Datenschutzverletzungen stellen eine der größten Bedrohungen für Ihre Sicherheit dar. Daher ist die richtige Verschlüsselung und Datensicherheit ein Muss. Mithilfe dieser Checkliste können Sie sicherstellen, dass Sie auf dem richtigen Weg sind. Sie gilt für alle Bereiche von Azure, in denen vertrauliche Daten verarbeitet, übertragen oder gespeichert werden.

  • Identifizieren Sie alle vertraulichen Informationen. Aus betrieblicher und Compliance-Sicht müssen Sie alle sensiblen Daten identifizieren, die in Ihrer Infrastruktur übertragen oder gespeichert werden. Auf diese Weise können Sie richtig entscheiden, wie Sie angemessene Sicherheit und Compliance erreichen.
  • Verschlüsseln Sie ruhende Daten. Dies ist Datenschutz 101. Nutzen Sie moderne Verschlüsselungsprotokolle und sichere Datenspeichermethoden für alle ruhenden Daten.
  • Verschlüsseln Sie Daten während der Übertragung. Genauso wie die Verschlüsselung ruhender Daten ein Muss ist, gilt dies auch für die Verschlüsselung von Daten während der Übertragung. Auch wenn die Daten nicht über das Internet übertragen werden, verschlüsseln Sie sie.
  • Verfügen Sie über einen Backup- und Disaster-Recovery-Plan (DR). Für den Fall, dass Sie Opfer von Ransomware oder anderer Malware werden, können Backups und ein DR-Plan einen großen Unterschied machen. Ein robuster Backup- und DR-Plan ist ein Muss für die Azure-Sicherheit.
  • Verwenden Sie eine Schlüsselverwaltungslösung. Lösungen wie Azure Key Vault ermöglichen Ihnen die sichere Verwaltung Ihrer Schlüssel, Geheimnisse und Zertifikate.
  • Härten Sie Ihre Management-Workstations ab. Der Zugriff auf sensible Daten von einem unsicheren Arbeitsplatz aus ist ein großes Risiko. Stellen Sie sicher, dass nur gehärtete Workstations auf Systeme zugreifen und diese verwalten können, die sensible Daten speichern.
  • Verwenden Sie Azure Information Protection. Mit Azure Information Protection ist es einfacher, einen vollständigen Überblick über Ihre vertraulichen Daten zu erhalten, Kontrollen zu implementieren und sicher zusammenzuarbeiten. Durch die Verwendung können Sie Ihre gesamten Datensicherheitsbemühungen einfacher und effektiver gestalten.

Speicher- und Datenbanksicherheit

Die Sicherung Ihrer Datenbanken ist ein entscheidendes Element Ihrer gesamten Sicherheitslage. Darüber hinaus ist es in vielen Fällen aus Compliance-Sicht ein Muss. Hier sollten Sie mit der Datenbanksicherheit in Azure beginnen.

  • Beschränken Sie den Datenbank- und Speicherzugriff. Verwenden Sie Firewall und Zugriffskontrollen, um die Zugriffsebene von Benutzern, Geräten und Diensten auf Ihre Datenbanken und Speicherblobs einzuschränken.
  • Nutzen Sie die Wirtschaftsprüfung. Aktivieren Sie die Überwachung für Ihre Azure-Datenbanken. Dadurch erhalten Sie Einblick in alle Datenbankänderungen.
  • Konfigurieren Sie die Bedrohungserkennung für Azure SQL. Wenn Sie Azure SQL verwenden, hilft Ihnen die Aktivierung der Bedrohungserkennung dabei, Sicherheitsprobleme schneller zu erkennen und die Verweildauer zu begrenzen.
  • Legen Sie Protokollwarnungen in Azure Monitor fest. Es reicht nicht aus, Ereignisse einfach nur zu protokollieren. Stellen Sie sicher, dass Sie in Azure Monitor vor sicherheitsrelevanten Ereignissen warnen, damit Sie Probleme schnell (und wenn möglich automatisch) beheben können.
  • Aktivieren Sie Azure Defender für Ihre Speicherkonten. Azure Defender bietet Ihnen die Möglichkeit, Ihre Azure-Speicherkonten zu härten und zu sichern.
  • Verwenden Sie vorläufige Löschvorgänge. Durch vorläufige Löschungen können Sie sicherstellen, dass Daten weiterhin abrufbar sind (für 14 Tage), falls ein böswilliger Akteur (oder ein Benutzerfehler) dazu führt, dass Daten, die Sie behalten wollten, gelöscht werden.
  • Verwenden Sie Shared Access Signatures (SAS). Mit SAS können Sie granulare Zugriffskontrollen und Zeitlimits für den Clientzugriff auf Daten implementieren.

Workloads und Schutz virtueller Maschinen

In diesem Abschnitt unserer Checkliste mit Best Practices für die Azure-Sicherheit geht es um Virtuelle Maschine und andere Workloads. Es gibt einige weitere Best Practices, die Ihnen helfen, Ihre Ressourcen in Azure zu schützen:

 

  • Erzwingen Sie mehrstufige Authentifizierung (MFA) und komplexe Passwörter. MFA kann dazu beitragen, die Gefahr kompromittierter Anmeldeinformationen zu begrenzen. Komplexe Passwörter tragen dazu bei, die Wirksamkeit von Brute-Force-Passwortangriffen zu verringern.
  • Nutzen Sie den Just-in-Time-Zugriff (JIT) auf Virtuelle Maschine. Der JIT-Zugriff funktioniert mit NSGs und der Azure-Firewall und hilft Ihnen, rollenbasierte Zugriffskontrollen (RBAC) und Zeitbindungen für den Zugriff auf Virtuelle Maschine einzubauen.
  • Halten Sie einen Patch-Prozess bereit. Wenn Sie Ihre Workloads nicht patchen, sind alle anderen Bemühungen möglicherweise umsonst. Eine einzige ungepatchte Schwachstelle kann zu einem Verstoß führen. Ein Patch-Prozess, der Ihre Betriebssysteme und Anwendungen auf dem neuesten Stand hält, hilft Ihnen, dieses Risiko zu mindern.
  • Sperren Sie administrative Ports. Sofern nicht unbedingt erforderlich, beschränken Sie den Zugriff auf SSH, RDP, WinRM und andere administrative Ports.
  • Verwenden Sie die Azure-Firewall und die Netzwerksicherheitsgruppen (NGSs), um den Zugriff auf Arbeitslasten einzuschränken. Verwenden Sie im Einklang mit dem Prinzip der geringsten Rechte NSGs und die Azure-Firewall, um den Workload-Zugriff einzuschränken.

Cloud Network Security

Netzwerksicherheit ist ein wichtiger Aspekt für die Sicherheit Ihrer Azure-Workloads. Hier sind die Best Practices für die Azure-Sicherheit, die Sie für Ihr Cloud-Netzwerk beachten sollten:

 

  • Verschlüsseln Sie Daten während der Übertragung. Wie wir im Abschnitt Verschlüsselung und Datensicherheit erwähnt haben: Die Verschlüsselung von Daten während der Übertragung (und im Ruhezustand) ist ein Muss. Nutzen Sie moderne Verschlüsselungsprotokolle für den gesamten Netzwerkverkehr.
  • Implementieren Sie Zero Trust. Standardmäßig sollten Netzwerkrichtlinien den Zugriff verweigern, es sei denn, es gibt eine explizite Zulassungsregel.
  • Beschränken Sie offene Ports und mit dem Internet verbundene Endgeräte. Lassen Sie das nicht zu, es sei denn, es gibt einen klar definierten geschäftlichen Grund dafür, dass ein Port geöffnet ist oder die Arbeitslast mit dem Internet verbunden ist.
  • Überwachen Sie den Gerätezugriff. Durch die Überwachung des Zugriffs auf Ihre Workloads und Ihr Gerät (z. B. mithilfe eines SIEM oder Azure Monitors) können Sie Bedrohungen proaktiv erkennen
  • Segmentieren Sie Ihr Netzwerk. Die logische Netzwerksegmentierung kann dazu beitragen, die Sichtbarkeit zu verbessern, die Verwaltung Ihres Netzwerks zu vereinfachen und die Ost-West-Bewegung im Falle eines Verstoßes einzuschränken.

Compliance

Die Einhaltung der Compliance ist einer der wichtigsten Aspekte der Sicherheit in der Azure-Cloud. Hier sind unsere Empfehlungen, die Ihnen dabei helfen sollen.

 

  • Definieren Sie Ihre Compliance-Ziele. Welche Daten und Workloads fallen aus Compliance-Sicht in den Geltungsbereich? Welche Normen und Vorschriften (z PCI-DSS, ISO 27001, HIPAA) sind für Ihr Unternehmen relevant? Es ist ein Muss, diese Fragen klar zu beantworten und Ihre Compliance-Ziele zu definieren.
  • Benutzen Sie die Das Dashboard Compliance gesetzlicher Vorschriften und der Azure-Sicherheitsbenchmark von Azure Security Center. Mithilfe des Compliance-Dashboards im Azure Security Center können Sie anhand einer Vielzahl von Standards ermitteln, wie nah Sie der Einhaltung der Compliance sind. Azure Security Benchmark bietet Empfehlungen, die Sie befolgen können, um der vollständigen Compliance näher zu kommen. Mit diesen Tools können Sie die Compliance in der Cloud vereinfachen.

Verbesserung der Azure-Sicherheit mit dem Check Point Unified Cloud-Sicherheit-Ansatz

Wie Sie sehen, steckt viel dahinter, Sicherheit in der Azure-Cloud zu erreichen. Um Unternehmen dabei zu helfen, den Prozess zu rationalisieren und Best Practices für die Cloud-Sicherheit in großem Maßstab zu implementieren, haben wir den Check Point Unified Cloud Security Approach entwickelt. Basierend auf den Prinzipien dieses einheitlichen Ansatzes ist Check Point CloudGuard das ideale Tool, um Sie bei der Implementierung dieser Best Practices für die Cloud-Sicherheit zu unterstützen.

 

Um mehr über die Azure-Sicherheit zu erfahren und wie Check Point Ihnen helfen kann, laden Sie das kostenlose Whitepaper Achieving Cloud with Confidence in the Age of Advanced Threats herunter. Dort erfahren Sie Folgendes:

 

  • So sichern Sie Multi-Cloud-Umgebungen im großen Maßstab
  • So verbessern Sie die Cloud-Sichtbarkeit
  • So gewährleisten Sie die Compliance über verschiedene Bereitstellungen hinweg

 

Wenn Sie alternativ Ihre aktuelle Cloud-Sicherheitslage bewerten möchten, melden Sie sich für einen kostenlosen Sicherheitscheck an. Nach der Überprüfung erhalten Sie einen umfassenden Bericht mit detaillierten Angaben zu Anzahl der Malware-Infektionen, Bedrohungen für Endgeräte und Smart-Geräte, Bot-Angriffe und Einbruchsversuche, Verwendung risikoreicher Anwendungen und Verlust sensibler Daten.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK