Freigeben über


Azure-Sicherheitsverwaltung und -Überwachung – Übersicht

Dieser Artikel enthält eine Übersicht über die Sicherheitsfeatures und -dienste in Azure, die als Hilfe bei der Verwaltung und Überwachung von Azure-Clouddiensten und virtuellen Azure-Computern dienen.

Rollenbasierte Zugriffssteuerung in Azure

Die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) ermöglicht eine detaillierte Verwaltung des Zugriffs für Azure-Ressourcen. Mit Azure RBAC können Sie den Benutzern beispielsweise nur die Zugriffsrechte gewähren, die diese zum Ausführen ihrer Aufgaben benötigen. Außerdem können Sie mit Azure RBAC sicherstellen, dass Personen, die das Unternehmen verlassen, keinen Zugriff mehr auf die Ressourcen in der Cloud haben.

Weitere Informationen:

Antimalware

Mit Azure können Sie Antischadsoftware von großen Anbietern wie Microsoft, Symantec, Trend Micro, McAfee und Kaspersky verwenden. Diese Software dient dem Schutz Ihrer virtuellen Computer vor Dateien mit schädlichem Inhalt, Adware und anderen Bedrohungen.

Bei Microsoft Antimalware für Azure Cloud Services und Virtual Machines haben Sie die Möglichkeit, einen Antischadsoftware-Agent für PaaS-Rollen und virtuelle Computer zu installieren. Dieses Feature basiert auf System Center Endpoint Protection und ermöglicht die Nutzung von bewährter lokaler Sicherheitstechnologie in der Cloud.

Symantec Endpoint Protection (SEP) wird unter Azure ebenfalls unterstützt. Durch die Portalintegration können Sie angeben, dass Sie SEP auf einem virtuellen Computer nutzen möchten. SEP kann über das Azure-Portal auf einem neuen virtuellen Computer oder mit PowerShell auf einem vorhandenen virtuellen Computer installiert werden.

Weitere Informationen:

Mehrstufige Authentifizierung

Die Microsoft Entra-Multi-Faktor-Authentifizierung ist eine Authentifizierungsmethode, welche die Verwendung mehr als einer Überprüfungsmethode erfordert. Der Dienst fügt eine wichtige zweite Sicherheitsebene für Benutzeranmeldungen und -transaktionen hinzu.

Die Multi-Faktor-Authentifizierung trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei und erfüllt gleichzeitig den Benutzerwunsch für einen einfachen Anmeldeprozess. Der Dienst bietet eine leistungsfähige Authentifizierung mit verschiedenen Überprüfungsoptionen (Telefonanruf, SMS oder Benachrichtigung bzw. Überprüfungscode in einer mobilen App) sowie OATH-Token von Drittanbietern.

Weitere Informationen:

ExpressRoute

Mit Azure ExpressRoute können Sie Ihre lokalen Netzwerke über eine dedizierte private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, in die Microsoft Cloud erweitern. Mit ExpressRoute können Sie Verbindungen mit Microsoft Cloud Services herstellen, z. B. Azure, Microsoft 365 und CRM Online. Die Konnektivität kann wie folgt bereitgestellt werden:

  • Über ein Any-to-Any-Netzwerk (IP VPN)
  • Über ein Point-to-Point-Ethernet-Netzwerk
  • Über eine virtuelle Querverbindung über einen Konnektivitätsanbieter in einer Co-Location-Einrichtung

ExpressRoute-Verbindungen nutzen nicht das öffentliche Internet. Sie können mehr Zuverlässigkeit, eine höhere Geschwindigkeit, niedrigere Latenzzeiten und mehr Sicherheit bieten als herkömmliche Verbindungen über das Internet.

Weitere Informationen:

Gateways des virtuellen Netzwerks

VPN-Gateways, die auch als Azure Virtual Network Gateways bezeichnet werden, werden zum Senden von Netzwerkdatenverkehr zwischen virtuellen Netzwerken und lokalen Standorten verwendet. Außerdem dienen sie zum Senden von Datenverkehr zwischen mehreren virtuellen Netzwerken in Azure (Netzwerk-zu-Netzwerk). VPN Gateways bieten sichere standortübergreifende Konnektivität zwischen Azure und Ihrer Infrastruktur.

Weitere Informationen:

Privileged Identity Management

Es kann vorkommen, dass Benutzer privilegierte Vorgänge in Azure-Ressourcen oder anderen SaaS-Anwendungen ausführen müssen. Dies bedeutet häufig, dass Organisationen ihnen dauerhaft privilegierten Zugriff in der Microsoft Entra ID gewähren.

Dies stellt ein zunehmendes Sicherheitsrisiko für die in der Cloud gehosteten Ressourcen dar, da Organisationen die Aktionen, die diese Benutzer mit dem privilegierten Zugriff ausführen, nicht ausreichend überwachen können. Darüber hinaus kann die Sicherheit der gesamten Cloud in Gefahr sein, wenn ein Benutzerkonto mit privilegiertem Zugriff kompromittiert wird. Mit Microsoft Entra Privileged Identity Management können Sie dieses Risiko beseitigen, indem Sie Offenlegungszeit von Berechtigungen verkürzen und die Sichtbarkeit in ihre Nutzung erhöhen.

Mit Privileged Identity Management wird das Konzept eines „temporären Administrators“ für eine Rolle bzw. Just-in-Time-Administratorzugriff eingeführt. Dieser Administrator ist ein Benutzer, der für die zugewiesene Rolle einen Aktivierungsprozess durchführen muss. Der Aktivierungsprozess ändert die Zuweisung des Benutzers zu einer Rolle in Microsoft Entra ID für einen bestimmten Zeitraum von „Inaktiv“ in „Aktiv“.

Weitere Informationen:

Schutz der Identität (Identity Protection)

Microsoft Entra ID-Schutz bietet eine konsolidierte Ansicht von verdächtigen Anmeldeaktivitäten und potenziellen Sicherheitsrisiken, um Ihr Unternehmen zu schützen. Identity Protection erkennt verdächtige Aktivitäten für Benutzer und privilegierte Identitäten (Administratoren) basierend auf folgenden Signalen:

  • Brute-Force-Angriffe
  • Kompromittierte Anmeldeinformationen
  • Anmeldeversuchen von unbekannten Standorten oder infizierten Geräten

Indem Benachrichtigungen gesendet und Abhilfemaßnahmen empfohlen werden, trägt Identity Protection zur Minimierung von Risiken in Echtzeit bei. Der Schweregrad in Bezug auf das Benutzerrisiko wird berechnet. Sie können risikobasierte Richtlinien konfigurieren, um den Anwendungszugriff automatisch vor neuen Bedrohungen zu schützen.

Weitere Informationen:

Defender für Cloud

Microsoft Defender für Cloud hilft Ihnen dabei, Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren. Defender für Cloud sorgt für eine größere Transparenz und eine bessere Kontrolle bezüglich der Sicherheit Ihrer Azure-Ressourcen sowie der Ressourcen in Ihrer hybriden Cloud-Umgebung.

Defender for Cloud führt kontinuierliche Sicherheitsbewertungen Ihrer verbundenen Ressourcen durch und vergleicht ihre Konfiguration und Bereitstellung mit der Azure Cloud Security Benchmark, um detaillierte, auf Ihre Umgebung zugeschnittene Sicherheitsempfehlungen zu geben.

Defender für Cloud unterstützt Sie bei der Optimierung und Überwachung der Sicherheit Ihrer Azure-Ressourcen durch Folgendes:

  • Sie können Richtlinien für die Ressourcen Ihres Azure-Abonnements definieren:
    • Die Sicherheitsanforderungen Ihrer Organisation.
    • Entsprechend den Anwendungstypen oder der Vertraulichkeit der Daten in den einzelnen Abonnements
    • Alle Branchen- oder gesetzlichen Standards oder Benchmarks, die Sie auf Ihre Abonnements anwenden.
  • Sie können den Status Ihrer virtuellen Azure-Computer, -Netzwerke und -Anwendungen überwachen.
  • Es wird eine Liste mit priorisierten Sicherheitswarnungen bereitgestellt, z.B. Warnungen integrierter Partnerlösungen. Zudem werden Informationen bereitgestellt, die Sie zum schnellen Untersuchen von Problemen benötigen. Darüber hinaus werden Empfehlungen zum Reagieren auf einen Angriff gegeben.

Weitere Informationen:

Nächste Schritte

Erfahren Sie mehr über das Modell gemeinsamer Verantwortung sowie welche Sicherheitsaufgaben von Microsoft und welche Aufgaben von Ihnen erledigt werden.

Ausführlichere Informationen zur Sicherheitsverwaltung finden Sie unter Sicherheitsverwaltung in Azure.