Freigeben über

Übersicht – Anwendung der Zero Trust-Prinzipien auf Azure IaaS

  • Artikel

Hinweis

Bevorstehender Livestream Schließen Sie sich dem Azure FastTrack-Team an, welches diesen Artikel bespricht. 23. Oktober 2024 | 19:00–20:00 Uhr (UTC+02:00) Mitteleuropäische Zeit (Deutschland). Registrieren Sie sich hier.

Zusammenfassung: Um Zero Trust-Prinzipien auf Azure IaaS-Komponenten und -Infrastruktur anzuwenden, müssen Sie zunächst die allgemeine Referenzarchitektur und die Komponenten von Azure-Speicher, virtuellen Computern und virtuellen Hub-and-Spoke-Netzwerken verstehen.

Diese Artikelserie hilft Ihnen, die Prinzipien von Zero Trust auf Ihre Workloads in Microsoft Azure IaaS anzuwenden, basierend auf einem multidisziplinären Ansatz zur Anwendung der Zero Trust-Prinzipien. Zero Trust ist eine Sicherheitsstrategie. Es handelt sich nicht um ein Produkt oder einen Dienst, sondern um einen Entwurfs- und Implementierungsansatz für die folgenden Sicherheitsprinzipien.

  • Explizit verifizieren
  • Geringstmögliche Zugriffsberechtigungen verwenden
  • Von einer Sicherheitsverletzung ausgehen

Die Umsetzung des Zero-Trust-Gedankens, d. h. „Verstöße erwarten, niemals vertrauen, immer verifizieren“, erfordert Änderungen an der Cloud-Infrastruktur, der Bereitstellungsstrategie und der Implementierung.

Diese ersten fünf Artikel (einschließlich dieser Einführung) zeigen Ihnen, wie Sie den Zero Trust-Ansatz auf ein gemeinsames IT-Geschäftsszenario basierend auf Infrastrukturdiensten anwenden. Die Arbeit ist in Einheiten unterteilt, die wie folgt zusammen konfiguriert werden können:

Weitere Informationen finden Sie unter Anwenden von Zero Trust-Prinzipien auf Azure Virtual Desktop.

Hinweis

Zukünftig werden weitere Artikel zu dieser Reihe hinzugefügt, darunter wie Unternehmen einen Zero Trust-Ansatz auf Anwendungen, Netzwerken, Daten und DevOps-Diensten anwenden können, die auf realen IT-Geschäftsumgebungen basieren.

Wichtig

In diesem Zero Trust-Leitfaden wird beschrieben, wie Sie mehrere in Azure verfügbare Sicherheitslösungen und -funktionen für eine Referenzarchitektur verwenden und konfigurieren. Mehrere andere Ressourcen bieten ebenfalls Sicherheitshinweise für diese Lösungen und Funktionen, darunter:

Um zu beschreiben, wie ein Zero Trust-Ansatz angewendet wird, zielt dieser Leitfaden auf ein gängiges Muster ab, das von vielen Organisationen in der Produktion verwendet wird: eine auf einer virtuellen Maschine basierende Anwendung, die in einem VNet (und einer IaaS-Anwendung) gehostet wird. Dies ist ein gängiges Muster für Organisationen, die lokale Anwendungen nach Azure migrieren, das manchmal als „Lift-and-Shift“ bezeichnet wird. Die Referenzarchitektur enthält alle Komponenten, die zur Unterstützung dieser Anwendung erforderlich sind, einschließlich Speicherdienste und einem Hub-VNet.

Die Referenzarchitektur spiegelt ein gängiges Bereitstellungsmuster in Produktionsumgebungen wider. Sie basiert nicht auf den im Cloud Adoption Framework (CAF) empfohlenen Zielzonen im Unternehmen, obwohl viele der bewährten Methoden in der Referenzarchitektur enthalten sind, z. B. die Verwendung eines dedizierten VNet zum Hosten von Komponenten, die den Zugriff auf die Anwendung (Hub-VNet) brokern.

Wenn Sie mehr über die in den Azure-Zielzonen des Cloud Adoption Framework empfohlenen Anleitungen erfahren möchten, sehen Sie sich die folgenden Ressourcen an:

Referenzarchitektur

Die folgende Abbildung zeigt die Referenzarchitektur für diese Zero Trust-Anleitung.

Diagramm der Referenzarchitektur zum Anwenden von Zero Trust auf Azure IaaS, mit verschiedenen Benutzertypen, allgemeinen Anwendungen, die auf VMs ausgeführt werden, PaaS-Diensten und Speicher.

Diese Architektur enthält:

  • Mehrere IaaS-Komponenten und -Elemente, einschließlich verschiedener Arten von Benutzern und IT-Verbrauchern, die von verschiedenen Standorten aus auf die App zugreifen. wie Azure, das Internet, lokal und Zweigstellen.
  • Eine übliche dreistufige Anwendung, die eine Front-End-Stufe, eine Anwendungsstufe und eine Datenstufe enthält. Alle Stufen werden auf virtuellen Maschinen innerhalb eines VNet namens SPOKE ausgeführt. Der Zugriff auf die App wird durch ein weiteres VNet namens HUB geschützt, das zusätzliche Sicherheitsdienste enthält.
  • Einige der am häufigsten verwendeten PaaS-Dienste in Azure, die IaaS-Anwendungen unterstützen, einschließlich rollenbasierter Zugriffssteuerung (RBAC) und Microsoft Entra ID, die zum Zero Trust-Sicherheitsansatz beitragen.
  • Speicher-Blobs und Speicherdateien, die Objektspeicher für die von Benutzern freigegebenen Anwendungen und Dateien bereitstellen.

In dieser Artikelreihe werden die Empfehlungen für die Implementierung von Zero Trust für die Referenzarchitektur erläutert, indem jedes dieser größeren Teile, die in Azure gehostet werden, wie hier gezeigt, angesprochen wird.

Diagramm der Referenzarchitektur zum Anwenden von Zero Trust auf Azure IaaS mit gruppierten Komponenten für Speicher, VMs sowie virtuelle Spoke- und Hubnetzwerke.

Das Diagramm skizziert die größeren Bereiche der Architektur, die in jedem Artikel dieser Reihe behandelt werden:

  1. Azure Storage-Dienste
  2. Virtuelle Computer
  3. Spoke-VNETs
  4. Hub VNets

Es ist wichtig zu beachten, dass die Anleitungen in dieser Artikelreihe spezifischer für diese Art von Architektur sind als die Anleitungen in den Architekturen Framework zur Cloud-Einführung und Azure-Zielzone. Wenn Sie die Anleitungen in einer dieser Ressourcen angewendet haben, lesen Sie auch diese Artikelreihe, um weitere Empfehlungen zu erhalten.

Informationen zu Azure-Komponenten

Das Referenzarchitekturdiagramm bietet eine topologische Ansicht der Umgebung. Es ist auch von Vorteil, logisch zu sehen, wie jede der Komponenten innerhalb der Azure-Umgebung organisiert werden kann. Das folgende Diagramm bietet eine Möglichkeit, Ihre Abonnements und Ressourcengruppen zu organisieren. Ihre Azure-Abonnements sind möglicherweise anders organisiert.

Diagramm der logischen Architektur zum Anwenden von Zero Trust auf Azure IaaS mit Abonnements, Microsoft Defender for Cloud und Azure Monitor sowie Ressourcengruppen innerhalb eines Microsoft Entra ID-Mandanten.

In diesem Diagramm ist die Azure-Infrastruktur in einem Microsoft Entra ID-Mandanten enthalten. In der folgenden Tabelle werden die verschiedenen Abschnitte beschrieben, die im Diagramm angezeigt werden.

  • Azure-Abonnements

    Sie können die Ressourcen in mehr als einem Abonnement verteilen, wobei jedes Abonnement unterschiedliche Rollen innehaben kann, z. B. ein Netzwerkabonnement oder ein Sicherheitsabonnement. Dies wird in der zuvor genannten Dokumentation zum Framework zur Cloud-Einführung und zur Azure-Zielzone beschrieben. Die verschiedenen Abonnements können auch unterschiedliche Umgebungen enthalten, z. B. Produktions-, Entwicklungs- und Testumgebungen. Es hängt davon ab, wie Sie Ihre Umgebung und die Anzahl der Ressourcen trennen möchten, die Sie jeweils haben. Mithilfe einer Verwaltungsgruppe können ein oder mehrere Abonnements gemeinsam verwaltet werden. Dadurch können Sie Berechtigungen mit rollenbasierter Zugriffssteuerung (RBAC) und Azure-Richtlinien auf eine Gruppe von Abonnements anwenden, anstatt jedes Abonnement einzeln einzurichten.

  • Microsoft Defender für Cloud und Azure Monitor

    Für jedes Azure-Abonnement ist eine Reihe von Azure Monitor-Lösungen und Defender für Cloud verfügbar. Wenn Sie diese Abonnements über eine Verwaltungsgruppe verwalten, können Sie alle Funktionen von Azure Monitor und Defender for Cloud in einem einzigen Portal zusammenfassen. Die von Defender for Cloud bereitgestellte Sicherheitsbewertung wird beispielsweise für alle Ihre Abonnements konsolidiert, wobei eine Verwaltungsgruppe als Bereich verwendet wird.

  • Speicherressourcengruppe (1)

    Das Speicherkonto ist in einer dedizierten Ressourcengruppe enthalten. Sie können jedes Speicherkonto in einer anderen Ressourcengruppe isolieren, um eine detailliertere Berechtigungskontrolle zu erreichen. Azure-Speicherdienste sind in einem dedizierten Speicherkonto enthalten. Sie können für jede Art von Speicher-Workload ein Speicherkonto haben, zum Beispiel einen Objektspeicher (auch Blob-Speicher genannt) und Azure Files. Dies ermöglicht eine detailliertere Zugriffskontrolle und kann die Leistung verbessern.

  • Virtuelle Maschinen-Ressourcengruppe (2)

    Virtuelle Maschinen sind in einer Ressourcengruppe enthalten. Sie können auch jeden virtuellen Maschinentyp für Arbeitslastebenen wie Front-End, Anwendung und Daten in verschiedenen Ressourcengruppen haben, um die Zugriffskontrolle weiter zu isolieren.

  • Spoke- (3) und Hub-VNet-Ressourcengruppen (4) in separaten Abonnements

    Das Netzwerk und andere Ressourcen für jedes der VNets in der Referenzarchitektur sind in dedizierten Ressourcengruppen für Spoke- und Hub-VNets isoliert. Diese Organisation funktioniert gut, wenn die Verantwortung dafür bei verschiedenen Teams liegt. Eine andere Möglichkeit besteht darin, diese Komponenten zu organisieren, indem alle Netzwerkressourcen in einer Ressourcengruppe und Sicherheitsressourcen in einer anderen zusammengefasst werden. Es hängt davon ab, wie Ihre Organisation für die Verwaltung dieser Ressourcen eingerichtet ist.

Bedrohungsschutz mit Microsoft Defender für Cloud

Microsoft Defender für Cloud ist eine erweiterte Erkennungs- und Reaktionslösung (XDR), die automatisch Signal-, Bedrohungs- und Warndaten aus Ihrer gesamten Umgebung sammelt, korreliert und analysiert. Defender for Cloud sollte zusammen mit Microsoft Defender XDR verwendet werden, um einen umfassenderen, korrelierten Schutz Ihrer Umgebung zu gewährleisten, wie im folgenden Diagramm dargestellt.

Diagramm der logischen Architektur von Microsoft Defender for Cloud und Microsoft Defender XDR mit Bedrohungsschutz für Azure IaaS-Komponenten.

In der Abbildung:

  • Defender für Cloud ist für eine Verwaltungsgruppe aktiviert, die mehrere Azure-Abonnements umfasst.
  • Microsoft Defender XDR ist für Microsoft 365-Apps und -Daten, SaaS-Apps, die in Microsoft Entra ID integriert sind, und lokale Active Directory Domain Services (AD DS) Server aktiviert.

Weitere Informationen zum Konfigurieren von Verwaltungsgruppen und zum Aktivieren von Defender für Cloud finden Sie unter:

Sicherheitslösungen in dieser Artikelserie

Bei Zero Trust werden mehrere Disziplinen der Sicherheit und des Informationsschutzes gemeinsam angewendet. In dieser Artikelserie wird dieser multidisziplinäre Ansatz wie folgt auf jede der Arbeitseinheiten für Infrastrukturkomponenten angewendet:

Anwendung der Zero Trust-Prinzipien auf Azure Storage

  1. Schützen Sie Daten in allen drei Modi: ruhende Daten, Daten in Übertragung und Daten in Verwendung
  2. Überprüfen Sie Benutzer und steuern Sie den Zugriff auf Speicherdaten mit den geringsten Berechtigungen
  3. Trennen oder unterteilen Sie kritische Daten mithilfe von Netzwerkkontrollen logisch.
  4. Verwenden Sie Defender for Storage für die automatisierte Erkennung und den Schutz von Bedrohungen

Wenden Sie Zero Trust-Prinzipien auf virtuelle Mascinen in Azure an

  1. Konfigurieren Sie die logische Isolation für virtuelle Maschinen
  2. Nutzen Sie die rollenbasierte Zugriffskontrolle (RBAC)
  3. Sichere Boot-Komponenten für virtuelle Maschinen
  4. Aktivieren Sie vom Kunden verwaltete Schlüssel und doppelte Verschlüsselung
  5. Steuern Sie die auf virtuellen Maschinen installierten Anwendungen
  6. Konfigurieren des sicheren Zugriffs
  7. Richten Sie eine sichere Wartung virtueller Maschinen ein
  8. Aktivieren Sie erweiterte Bedrohungserkennung und Schutz.

Wenden Sie Zero Trust-Prinzipien auf ein Spoke-VNet in Azure an

  1. Verwenden Sie Microsoft Entra RBAC oder richten Sie benutzerdefinierte Rollen für Netzwerkressourcen ein
  2. Isolieren Sie die Infrastruktur in einer eigenen Ressourcengruppe
  3. Erstellen Sie für jedes Subnetz eine Netzwerksicherheitsgruppe
  4. Erstellen Sie für jede Rolle einer virtuellen Maschine eine Anwendungssicherheitsgruppe
  5. Sicherer Datenverkehr und Ressourcen innerhalb des VNet
  6. Sicherer Zugriff auf das VNet und die Anwendung
  7. Aktivieren Sie erweiterte Bedrohungserkennung und Schutz.

Wenden Sie Zero Trust-Prinzipien auf ein Hub-VNet in Azure an

  1. Sichere Azure Firewall Premium
  2. Stellen Sie Azure DDoS Protection Standard bereit
  3. Konfigurieren Sie das Netzwerk-Gateway-Routing zur Firewall
  4. Konfigurieren Sie den Bedrohungsschutz

Technische Illustrationen

Diese Abbildungen sind Replikate der Referenzabbildungen in diesen Artikeln. Laden Sie diese für Ihre eigene Organisation und Ihre Kunden herunter, und passen Sie sie an. Ersetzen Sie das Contoso-Logo durch Ihre eigene.

Artikel Beschreibung
Miniaturbild 1Visio herunterladen
Aktualisiert am Oktober 2024		 Anwenden von Zero-Trust-Prinzipien auf Azure IaaS
Verwenden Sie diese Abbildungen mit den folgenden Artikeln:
- Übersicht
- Azure Storage
- Virtuelle Computer
- Virtuelle Azure-Netzwerke
- Virtuelle Azure Hub-Netzwerke
Miniaturbild 2Visio herunterladen
Aktualisiert am Oktober 2024		 Anwenden von Zero Trust-Prinzipien auf Azure IaaS – Ein Seitenposter
Eine einseitige Übersicht über den Prozess zum Anwenden der Prinzipien von Zero Trust auf Azure IaaS-Umgebungen.

Weitere technische Illustrationen finden Sie unter Zero Trust Illustrationen für IT-Architekten und Implementierer.

Im Folgenden finden Sie die empfohlenen Trainingsmodule für Zero Trust.

Azure-Verwaltung und -Governance

Training Beschreiben der Azure-Verwaltung und -Governance
Die Schulung zu Microsoft Azure-Grundlagen besteht aus drei Lernpfaden: „Microsoft Azure-Grundlagen: Beschreiben von Cloudkonzepten“, „Beschreiben der Azure-Architektur und -Dienste“ und „Beschreiben der Azure-Verwaltung und -Governance“. Microsoft Azure-Grundlagen: Das Beschreiben von Azure-Verwaltung und -Governance ist der dritte Lernpfad in Microsoft Azure-Grundlagen. In diesem Lernpfad werden die verfügbaren Verwaltungs- und Governanceressourcen zum Verwalten Ihrer Cloud- und lokalen Ressourcen untersucht.
Dieser Lernpfad hilft Ihnen, sich auf die Prüfung AZ-900: Microsoft Azure Fundamentals vorzubereiten.

Start >

Konfigurieren von Azure Policy

Training Konfigurieren von Azure Policy
Erfahren Sie, wie Sie Azure Policy konfigurieren, um Complianceanforderungen zu implementieren.
In diesem Modul lernen Sie Folgendes:
  • Erstellen Sie Verwaltungsgruppen für Richtlinien und Ausgabenbudgets.
  • Implementieren Sie Azure Policy mit Richtlinien- und Initiativendefinitionen.
  • Festlegen des Geltungsbereichs für Azure-Richtlinien und Ermitteln der Compliance
    		•

    Start >

    Verwalten von Sicherheitsvorgängen

    Training Verwalten Sie Sicherheitsabläufe
    Nachdem Sie Ihre Azure-Umgebung bereitgestellt und abgesichert haben, lernen Sie, die Sicherheit Ihrer Lösungen zu überwachen, zu betreiben und kontinuierlich zu verbessern.
    Dieser Lernpfad hilft Ihnen, sich auf die Prüfung AZ-500: Microsoft Azure Security Technologies vorzubereiten.

    Start >

    Konfigurieren der Speichersicherheit

    Training Konfigurieren Sie die Speichersicherheit
    Erfahren Sie, wie Sie gängige Azure Storage-Sicherheitsfeatures wie Speicherzugriffssignaturen konfigurieren.
    In diesem Modul lernen Sie Folgendes:
  • Konfigurieren Sie eine SAS (Shared Access Signature), einschließlich URI- (Uniform Resource Identifier) und SAS-Parametern.
  • Konfigurieren Sie die Azure Storage-Verschlüsselung.
  • Implementieren von kundenseitig verwalteten Schlüsseln.
  • Empfehlen Sie Möglichkeiten zum Erhöhen der Sicherheit von Azure Storage.
    		•

    Start >

    Konfigurieren von Azure Firewall

    Training Konfigurieren von Azure Firewall
    Hier erfahren Sie, wie die Azure Firewall und entsprechende Firewallregeln konfiguriert werden.
    Nach Abschluss dieses Moduls können Sie Folgendes:
  • Bestimmen, wann Azure Firewall verwendet werden soll
  • Implementieren von Azure Firewall mit den entsprechenden Firewallregeln
    		•

    Start >

    Weitere Trainings zur Sicherheit in Azure finden Sie in den folgenden Ressourcen im Microsoft-Katalog:
    Sicherheit in Azure | Microsoft Learn

    Nächste Schritte

    Lesen Sie diese zusätzlichen Artikel zur Anwendung von Zero Trust-Prinzipien auf Azure:

    Weitere Artikel zur Anwendung von Zero Trust-Prinzipien auf Azure-Netzwerke finden Sie hier:

    References

    Weitere Informationen zu den verschiedenen in diesem Artikel erwähnten Diensten und Technologien finden Sie unter den folgenden Links.