Bewährte Sicherheitsmethoden für IaaS-Workloads in Azure
Dieser Artikel beschreibt bewährte Best Practices für die Sicherheit von virtuellen Computern und Betriebssystemen.
Die bewährten Methoden basieren auf einer gemeinsamen Linie und eignen sich für aktuelle Funktionen und Features der Azure-Plattform. Da sich Meinungen und Technologien im Laufe der Zeit verändern können, wird dieser Artikel regelmäßig aktualisiert, um diesen Veränderungen Rechnung zu tragen.
In den meisten IaaS-Szenarien (Infrastructure-as-a-Service, Infrastruktur als Dienst) stellen virtuelle Azure-Computer (Virtual Machines, VMs) die Hauptworkload für Organisationen dar, die Cloud Computing verwenden. Dies gilt in Hybridszenarien, in denen Organisationen Workloads nach und nach in die Cloud migrieren möchten. Orientieren Sie sich in solchen Szenarien an den allgemeinen Sicherheitsaspekten für IaaS, und wenden Sie bewährte Sicherheitsmethoden für alle Ihre virtuellen Computer an.
Schützen von VMs mittels Authentifizierungs- und Zugriffssteuerung
Der erste Schritt zum Schutz Ihrer virtuellen Computer ist, sicherzustellen, dass nur autorisierte Benutzer neue VMs einrichten und auf VMs zugreifen können.
Hinweis
Um die Sicherheit von Linux-VMs in Azure zu verbessern, können Sie die Microsoft Entra-Authentifizierung integrieren. Bei Verwendung der Microsoft Entra-Authentifizierung für Linux-VMs werden Richtlinien, mit denen der Zugriff auf die VM zugelassen oder verweigert wird, zentral gesteuert und erzwungen.
Bewährte Methode: Steuern des VM-Zugriffs. Detail: Verwenden Sie Azure-Richtlinien, um Konventionen für Ressourcen in Ihrer Organisation einzurichten und benutzerdefinierte Richtlinien zu erstellen. Wenden Sie diese Richtlinien auf Ressourcen wie z.B. Ressourcengruppen an. Virtuelle Computer, die einer Ressourcengruppe angehören, erben deren Richtlinien.
Wenn Ihre Organisation über viele Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Azure-Verwaltungsgruppen stellen einen abonnementübergreifenden Bereich bereit. Sie organisieren Abonnements in Verwaltungsgruppen (Containern) und wenden Ihre Governancebedingungen auf diese Gruppen an. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Gruppe angewendeten Bedingungen. Verwaltungsgruppen ermöglichen Ihnen – unabhängig von den Arten Ihrer Abonnements – die unternehmenstaugliche Verwaltung in großem Umfang.
Bewährte Methode: Verringern Sie die Variabilität in Ihrer Installation und Bereitstellung von virtuellen Computern. Detail: Verwenden Sie Azure Resource Manager-Vorlagen, um Ihre Bereitstellungsoptionen zu verdeutlichen und das Verstehen und Inventarisieren der virtuellen Computer in Ihrer Umgebung zu vereinfachen.
Bewährte Methode: Schützen des privilegierten Zugriffs. Detail: Verwenden Sie den Ansatz der geringsten Rechte und integrierte Azure-Rollen, um Benutzern den Zugriff auf virtuelle Computer und deren Einrichtung zu ermöglichen:
- Mitwirkender von virtuellen Computern: Kann virtuelle Computer verwalten, jedoch nicht das virtuelle Netzwerk oder Speicherkonto, mit dem sie verbunden sind.
- Mitwirkender von klassischen virtuellen Computern: Kann virtuelle Computer verwalten, die mit dem klassischen Bereitstellungsmodell erstellt wurden, aber nicht das virtuelle Netzwerk oder Speicherkonto, mit dem sie verbunden sind.
- Sicherheitsadministrator: Nur in Defender für Cloud: Kann Sicherheitsrichtlinien und -zustände anzeigen, Sicherheitsrichtlinien bearbeiten sowie Warnungen und Empfehlungen anzeigen und verwerfen.
- DevTest Labs-Benutzer: Kann alles anzeigen sowie virtuelle Computer verbinden, starten, neu starten und herunterfahren.
Ihre Abonnementadministratoren und Coadministratoren können diese Einstellung ändern und so zu Administratoren aller virtuellen Computer in einem Abonnement werden. Achten Sie darauf, dass alle Ihre Abonnementadministratoren und -coadministratoren für die Anmeldung bei Ihren Computern vertrauenswürdig sind.
Hinweis
Sie sollten virtuelle Computer mit gleichem Lebenszyklus in der gleichen Ressourcengruppe zusammenzufassen. Ressourcengruppen ermöglichen die Bereitstellung und Überwachung Ihrer Ressourcen sowie die Zusammenfassung der Abrechnungskosten für Ihre Ressourcen.
Organisationen, die VM-Zugriff und -Einrichtung steuern, verbessern die gesamte VM-Sicherheit.
Verwenden mehrerer virtueller Computer für eine höhere Verfügbarkeit
Falls Ihr virtueller Computer kritische Anwendungen ausführt, die Hochverfügbarkeit erfordern, empfiehlt sich die Verwendung mehrerer virtueller Computer. Verwenden Sie für eine höhere Verfügbarkeit eine Verfügbarkeitsgruppe oder Verfügbarkeitszonen.
Eine Verfügbarkeitsgruppe ist eine logische Gruppierung, die Sie in Azure verwenden können, um sicherzustellen, dass die VM-Ressourcen, die Sie darin platzieren, voneinander isoliert sind, wenn sie in einem Azure-Rechenzentrum implementiert werden. Azure stellt sicher, dass die VMs innerhalb einer Verfügbarkeitsgruppe auf mehrere physische Server, Computeracks, Speichereinheiten und Netzwerkswitches verteilt werden. Wenn ein Hardware- oder Softwarefehler in Azure auftritt, ist nur ein Teil Ihrer VMs beeinträchtigt, und die Anwendung ist insgesamt weiterhin für Ihre Kunden verfügbar. Verfügbarkeitsgruppen haben eine wichtige Funktion bei der Erstellung zuverlässiger Cloudlösungen.
Schutz vor Malware
Installieren Sie einen Schadsoftwareschutz, um Viren, Spyware und andere Schadsoftware zu erkennen und zu entfernen. Sie können Microsoft Antimalware oder die Endpunktschutz-Lösung eines Microsoft-Partners (Trend Micro, Broadcom, McAfee, Windows Defender und System Center Endpoint Protection) installieren.
Microsoft-Antischadsoftware umfasst Features wie Echtzeitschutz, geplante Überprüfungen, Malwareproblembehandlung, Signaturupdates, Engine-Updates, Beispielberichte und Sammlungen von Ausschlussereignissen. Für Umgebungen, die getrennt von Ihrer Produktionsumgebung gehostet werden, können Sie eine Antischadsoftware-Erweiterung verwenden, um den Schutz Ihrer VMs und Clouddienste zu verbessern.
Sie können Microsoft Antimalware und Partnerlösungen zur Vereinfachung der Bereitstellung und für integrierte Erkennungen (Warnungen und Vorfälle) mit Microsoft Defender für Cloud kombinieren.
Bewährte Methode: Installieren Sie eine Antischadsoftware-Lösung zum Schutz vor Malware.
Detail: Installieren Sie eine Microsoft-Partnerlösung oder Microsoft Antimalware.
Beste Vorgehensweise: Integrieren Sie Ihre Anti-Malware-Lösung zum Überwachen des Status Ihres Schutzes in Defender für Cloud.
Detail: Verwalten Sie Probleme beim Endpunkt-Schutz mit Defender für Cloud
Verwalten Ihrer Updates für virtuelle Computer
Azure-VMs sollen wie alle lokalen VMs vom Benutzer verwaltet werden. Azure führt bei ihnen keine Pushübertragungen von Windows-Updates durch. Sie müssen Ihre Updates für virtuelle Computer verwalten.
Bewährte Methode: Halten Sie Ihre virtuellen Computer auf dem neuesten Stand.
Detail: Sie können die Lösung für die Updateverwaltung in Azure Automation für Betriebssystemupdates für Ihre Windows- und Linux-Computer verwalten, die in Azure, in lokalen Umgebungen oder bei anderen Cloudanbietern bereitgestellt werden. Sie können den Status der verfügbaren Updates auf allen Agent-Computern schnell auswerten und die Installation der für den Server erforderlichen Updates initiieren.
Verwenden Sie für Computer, die mit der Updateverwaltung verwaltet werden, die folgenden Konfigurationen, um Bewertungen und Updatebereitstellungen durchzuführen:
- Microsoft Monitoring Agent (MMA) für Windows oder Linux
- PowerShell Desired State Configuration (DSC) für Linux
- Automation Hybrid Runbook Worker
- Microsoft Update oder Windows Server Update Services (WSUS) für Windows-Computer
Wenn Sie Windows Update verwenden, lassen Sie die Einstellung für automatische Windows-Updates aktiviert.
Bewährte Methode: Stellen Sie bei der Bereitstellung sicher, dass Images, die Sie erstellt haben, die neueste Zusammenstellung der Windows-Updates enthalten.
Detail: Suchen Sie bei jeder Bereitstellung zuerst alle Windows-Updates, und installieren Sie diese. Dies ist besonders wichtig, wenn Sie Images bereitstellen, die von Ihnen selbst oder aus Ihrer eigenen Bibliothek stammen. Obwohl Images aus dem Azure Marketplace standardmäßig automatisch aktualisiert werden, kann nach einem öffentlichen Release eine Verzögerung (bis zu ein paar Wochen) eintreten.
Bewährte Methode: Stellen Sie in regelmäßigen Abständen Ihre virtuellen Computer erneut bereit, um eine neue Version des Betriebssystems zu erzwingen.
Detail: Definieren Sie Ihren virtuellen Computer mit einer Azure Resource Manager-Vorlage, sodass Sie sie problemlos erneut bereitstellen können. Mithilfe einer Vorlage erhalten Sie bei Bedarf eine gepatchte und sichere VM.
Bewährte Methode: Wenden Sie Sicherheitsupdates zügig auf virtuelle Computer an.
Detail: Aktivieren Sie Microsoft Defender für Cloud (kostenfrei oder Standard), um fehlende Sicherheitsupdates zu identifizieren und anzuwenden.
Bewährte Methode: Installieren Sie die neuesten Sicherheitsupdates.
Detail: Zu den Workloads, die von Kunden als erste in Azure verschoben werden, zählen unter anderem Labs und Systeme mit externer Verbindung. Wenn Ihre in Azure gehosteten virtuellen Computer Anwendungen oder Dienste hosten, die über das Internet zugänglich sein sollen, müssen Sie beim Patchen aufmerksam sein. Beschränken Sie sich beim Patchen nicht nur auf das Betriebssystem. Ungepatchte Sicherheitsrisiken in Partneranwendungen können ebenfalls zu Problemen führen, die mit einer guten Patchverwaltung vermeidbar sind.
Bewährte Methode: Stellen Sie eine Sicherungslösung bereit und testen Sie diese.
Detail: Eine Sicherung muss in gleicher Weise behandelt werden wie alle anderen Vorgänge. Dies gilt für alle Systeme in Ihrer Produktionsumgebung, die sich bis in die Cloud erstreckt.
Für Test- und Entwicklungssysteme müssen Sicherungsstrategien mit Wiederherstellungsfunktionen verwendet werden, die sich an den Erfahrungen orientieren, die Benutzer bereits mit lokalen Umgebungen gemacht haben. In Azure verschobene Workloads sollten sich möglichst in die vorhandenen Sicherheitslösungen integrieren lassen. Alternativ können Sie sich bei der Erfüllung ihrer Sicherungsanforderungen von Azure Backup unterstützen lassen.
Organisationen, die keine Softwareupdaterichtlinien erzwingen, sind anfälliger für Angreifer, die sich bekannte, bereits korrigierte Sicherheitslücken zunutze machen. Unternehmen müssen zur Erfüllung von Branchenbestimmungen nachweisen, dass sie gewissenhaft arbeiten und geeignete Sicherheitsmaßnahmen ergreifen, um die Sicherheit ihrer Workloads in der Cloud zu gewährleisten.
Bewährte Softwareupdatemethoden für herkömmliche Rechenzentren und Azure-IaaS sind sich in vielen Punkten ähnlich. Sie sollten Ihre aktuellen Softwareupdaterichtlinien evaluieren und virtuelle Computer in Azure mit einbeziehen.
Verwalten des Sicherheitsstatus Ihrer virtuellen Computer
Cyberbedrohungen entwickeln sich stetig weiter. Der Schutz Ihrer virtuellen Computer erfordert daher umfangreiche Überwachungsfunktionen, die Bedrohungen schnell erkennen, nicht autorisierte Zugriffe auf Ihre Ressourcen verhindern, Warnungen auslösen und falsch positive Ergebnisse verringern.
Den Sicherheitsstatus Ihrer virtuellen Windows- und virtuellen Linux-Computer können Sie mithilfe von Microsoft Defender für Cloud überwachen. Zum Schutz Ihrer virtuellen Computer stehen Ihnen in Defender für Cloud folgende Funktionen zur Verfügung:
- Anwenden von Sicherheitseinstellungen des Betriebssystems mit empfohlenen Konfigurationsregeln.
- Ermitteln und Herunterladen sicherheitsrelevanter und wichtiger Updates, die möglicherweise noch fehlen.
- Bereitstellen von Empfehlungen zum Schutz von Endpunkten vor Schadsoftware.
- Überprüfen der Datenträgerverschlüsselung.
- Bewerten und Beseitigen von Sicherheitsrisiken.
- Erkennen von Bedrohungen.
Defender für Cloud kann aktiv nach Bedrohungen suchen und potenzielle Bedrohungen werden in Sicherheitswarnungen angezeigt. Korrelierte Bedrohungen werden in einer zentralen Ansicht namens „Sicherheitsvorfall“ aggregiert.
Defender für Cloud speichert Daten in Azure Monitor-Protokollen. Azure Monitor-Protokolle bietet eine Abfragesprache und eine Analyseengine, die Ihnen Einblicke in den Betrieb Ihrer Anwendungen und Ressourcen gibt. Zudem werden Daten aus Azure Monitor, Verwaltungslösungen und auf den virtuellen Computern in der Cloud oder lokal installierten Agents gesammelt. Dadurch erhalten Sie ein vollständiges Bild von Ihrer gesamten Umgebung.
Organisationen, die für ihre virtuellen Computer kein hohes Maß an Sicherheit erzwingen, bleiben potenzielle Vorfälle, bei denen nicht autorisierte Benutzer versuchen, die Sicherheitskontrollen zu umgehen, verborgen.
Überwachen der Leistung virtueller Computer
Ressourcenmissbrauch kann problematisch sein, wenn Prozesse von virtuellen Computern mehr Ressourcen beanspruchen als sie sollten. Leistungsprobleme bei einem virtuellen Computer können zu einer Dienstunterbrechung führen und gegen das Sicherheitsprinzip der Verfügbarkeit verstoßen. Dies ist besonders wichtig für virtuelle Computer, die IIS oder andere Webserver hosten, da hohe CPU-Auslastung oder Arbeitsspeichernutzung auf einen DoS-Angriff (Denial of Service) hinweisen. Der Zugriff auf virtuelle Computer muss nicht nur reaktiv – also wenn bereits ein Problem auftritt – sondern auch proaktiv anhand einer im Normalbetrieb ermittelten Baseline überwacht werden.
Sie sollten sich mit Azure Monitor Einblick in den Zustand Ihrer Ressourcen verschaffen. Azure Monitor umfasst:
- Protokolldateien zur Ressourcendiagnose: Ihre VM-Ressourcen werden überwacht und potenzielle Probleme erkannt, die unter Umständen Leistung und Verfügbarkeit beeinträchtigen.
- Azure-Diagnoseerweiterung: Stellt Überwachungs- und Diagnosefunktionen auf virtuellen Windows-Computern bereit. Diese Funktionen können Sie aktivieren, indem Sie die Erweiterung in die Azure Resource Manager-Vorlage einbeziehen.
Organisationen, die die Leistung virtueller Computer nicht überwachen, können nicht ermitteln, ob bestimmte Veränderungen bei Leistungsmustern normal sind. Wenn ein virtueller Computer mehr Ressourcen beansprucht als normal, kann dies auf einen Angriff über eine externe Ressource oder die Ausführung eines kompromittierten Prozesses auf diesem virtuellen Computer hindeuten.
Verschlüsseln Ihrer VHD-Dateien
Sie sollten Ihre virtuellen Festplatten (VHDs) verschlüsseln, um Ihr Startvolume und Ihre Datenvolumes im Ruhezustand im Speicher zu schützen, zusammen mit Ihren Verschlüsselungsschlüsseln und Geheimnissen.
Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für Windows-VMs unterstützen Sie beim Verschlüsseln der Datenträger Ihrer virtuellen IaaS-Computer auf Linux und Windows. Azure Disk Encryption verwendet das Branchenstandardfeature DM-Crypt von Linux und das Feature BitLocker von Windows, um Volumeverschlüsselung für das Betriebssystem und die Datenträger bereitzustellen. Die Lösung ist in Azure Key Vault integriert, damit Sie die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement steuern und verwalten können. Diese Lösung stellt außerdem sicher, dass alle ruhenden Daten auf den Datenträgern der virtuellen Computer in Azure Storage verschlüsselt sind.
Folgende Methoden haben sich bei der Verwendung von Azure Disk Encryption bewährt:
Bewährte Methode: Aktivieren Sie Verschlüsselung auf virtuellen Computern.
Detail: Azure Disk Encryption generiert die Verschlüsselungsschlüssel und schreibt sie in Ihren Schlüsseltresor. Das Verwalten von Verschlüsselungsschlüsseln im Schlüsseltresor erfordert die Microsoft Entra-Authentifizierung. Erstellen Sie hierfür eine Microsoft Entra-Anwendung. Zu Authentifizierungszwecken können Sie die auf einem geheimen Clientschlüssel basierende Authentifizierung oder die auf einem Clientzertifikat basierende Microsoft Entra-Authentifizierung verwenden.
Bewährte Methode: Sorgen Sie mit einem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) für zusätzlichen Schutz für Verschlüsselungsschlüssel. Fügen Sie Ihrem Schlüsseltresor einen KEK hinzu.
Detail: Verwenden Sie das Cmdlet Add-AzKeyVaultKey, um im Schlüsseltresor einen Schlüsselverschlüsselungsschlüssel zu erstellen. Sie können den KEK auch aus Ihrem lokalen Hardwaresicherheitsmodul (HSM) für die Schlüsselverwaltung importieren. Weitere Informationen finden Sie in der Key Vault-Dokumentation. Wenn ein Schlüsselverschlüsselungsschlüssel angegeben wird, verwendet Azure Disk Encryption diesen, um Verschlüsselungsgeheimnisse vor dem Schreiben in Key Vault zu umschließen. Zusätzlichen Schutz vor versehentlichem Löschen von Schlüsseln bietet das Hinterlegen einer Kopie dieses Schlüssels in einem lokalen Schlüsselverwaltungs-HSM.
Bewährte Methode: Erstellen Sie eine Momentaufnahme, und/oder sichern Sie die Datenträger, bevor diese verschlüsselt werden. Sicherungen bieten eine Wiederherstellungsoption, wenn während der Verschlüsselung ein unerwarteter Fehler auftritt.
Detail: Für VMs mit verwalteten Datenträgern ist eine Sicherung erforderlich, bevor die Verschlüsselung durchgeführt wird. Nach dem Erstellen einer Sicherung können Sie das Cmdlet Set-AzVMDiskEncryptionExtension verwenden, um verwaltete Datenträger durch das Angeben des Parameters -skipVmBackup zu verschlüsseln. Weitere Informationen zum Sichern und Wiederherstellen von verschlüsselten VMs finden Sie im Artikel Azure Backup.
Bewährte Methode: Um sicherzustellen, dass die Verschlüsselungsgeheimnisse die Regionsgrenzen nicht verlassen, müssen der Schlüsseltresor und die VMs sich für Azure Disk Encryption in derselben Region befinden.
Detail: Erstellen und verwenden Sie einen Schlüsseltresor, der sich in derselben Region wie die zu verschlüsselnde VM befindet.
Mit Azure Disk Encryption können Sie die folgenden geschäftlichen Anforderungen erfüllen:
- Virtuelle IaaS-Computer werden im Ruhezustand mit Verschlüsselungstechnologie nach Branchenstandard geschützt, um die Anforderungen an Unternehmenssicherheit und Compliance zu erfüllen.
- Virtuelle IaaS-Computer werden mit vom Kunden gesteuerten Schlüsseln und Richtlinien gestartet, und Sie können ihre Nutzung in Ihrem Schlüsseltresor überwachen.
Einschränken der direkten Internetverbindung
Überwachen Sie die direkte Internetverbindung von VMs und schränken Sie diese ein. Angreifer scannen ständig öffentliche Cloud-IP-Adressbereiche nach offenen Verwaltungsports und probieren „einfache“ Angriffe mittels häufig verwendeter Kennwörter und bekannter ungepatchter Sicherheitslücken. Die folgende Tabelle enthält bewährte Methoden zum Schutz vor diesen Angriffen:
Bewährte Methode: Verhindern Sie eine unbeabsichtigte Offenlegung von Netzwerkrouting und -sicherheit.
Detail: Verwenden Sie Azure RBAC, um sicherzustellen, dass nur die zentrale Netzwerkgruppe über Berechtigungen für Netzwerkressourcen verfügt.
Bewährte Methode: Identifizieren und korrigieren Sie exponierte VMs, die einen Zugriff über „alle“ Quell-IP-Adressen zulassen.
Detail: Verwenden Sie Microsoft Defender für Cloud. Defender für Cloud empfiehlt, den Zugriff über Endpunkte mit Internetverbindung einzuschränken, wenn für beliebige Ihrer Netzwerksicherheitsgruppen mindestens eine Eingangsregel gilt, die den Zugriff über „alle“ Quell-IP-Adressen zulässt. Defender für Cloud empfiehlt, diese Eingangsregeln so abzuändern, dass der Zugriff eingeschränkt wird auf Quell-IP-Adressen, die tatsächlich Zugriff benötigen.
Bewährte Methode: Beschränken Sie Verwaltungsports (RDP, SSH).
Detail: Mit einem JIT-VM-Zugriff (Just-In-Time-VM-Zugriff) kann eingehender Datenverkehr auf den Azure-VMs gesperrt werden, um die Gefährdung durch Angriffe zu reduzieren und dennoch bei Bedarf einen einfachen Zugriff auf Verbindungen zu virtuellen Computern bereitzustellen. Wenn JIT aktiviert ist, sperrt Defender für Cloud den eingehenden Datenverkehr für Ihre virtuellen Azure-Computer, indem eine Netzwerksicherheitsgruppen-Regel erstellt wird. Sie wählen die Ports auf dem virtuellen Computer aus, für die eingehender Datenverkehr gesperrt wird. Diese Ports werden durch die JIT-Lösung gesteuert.
Nächste Schritte
Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.
Die folgenden Ressourcen enthalten allgemeinere Informationen zur Sicherheit in Azure und verwandten Microsoft-Diensten:
- Blog des Azure-Sicherheitsteams: Hier finden Sie Informationen über den aktuellen Stand der Azure-Sicherheit.
- Microsoft Security Response Center: Hier können Sie Microsoft-Sicherheitsrisiken, z.B. Probleme mit Azure, melden oder eine E-Mail an secure@microsoft.com schreiben.