10 Tipps und Tricks zur Sicherung Ihres Azure-Abonnements

Das Anlegen eines neuen Azure-Abonnements ist mit ein paar Klicks erledigt, aber die Einführung der Cloud in Ihrem Unternehmen erfordert mehr Zeit und Mühe. Wir bei Xebia helfen unseren Kunden auf ihrem Weg in die Cloud und einer der wichtigsten Faktoren ist es, sicherzustellen, dass Ihre Azure-Umgebung sicher ist, wenn Sie Ihre Arbeitslasten migrieren. In diesem Artikel listen wir zehn Tipps und Tricks auf, die ein guter Ausgangspunkt sind, um sicherzustellen, dass Sie die Möglichkeiten der Cloud sicher nutzen können.

1. Schützen Sie Ihr Azure Active Directory-Konto mit MFA

Azure Active Directory (Azure AD oder kurz AAD) ist der Identitätsanbieter für Azure und kümmert sich um die Authentifizierungs- und Autorisierungsszenarien. Jedes Mal, wenn Sie auf die Azure-Plattform zugreifen, müssen Sie die AAD-Authentifizierung bestehen, um zu beweisen, dass Sie wirklich die Person sind, für die Sie sich ausgeben. Dies geschieht in der Regel durch die Angabe Ihres Benutzernamens und Kennworts. Untersuchungen haben jedoch gezeigt, dass es viel sicherer ist, dies mit einer Multi-Faktor-Authentifizierung (MFA) zu kombinieren. Mit MFA müssen Sie Ihre Authentifizierung in einer mobilen App bestätigen, bevor der Zugriff auf Ihr Konto gewährt wird.

MFA auf der Grundlage einer Benachrichtigung in der Microsoft Authenticator-App ist eine kostenlose Option, die jedem Azure AD-Benutzer einschließlich der kostenlosen Stufe zur Verfügung steht. Höhere AD-Stufen können auch einen Telefonanruf, eine Textnachricht oder einen Hardware-Token als zusätzliche Verifizierung wählen.

Die Aktivierung von MFA reicht nicht mehr aus, um Ihre Umgebung zu schützen. Die Microsoft Authenticator App wird im Laufe der Zeit weiterentwickelt, um neue Arten von Angriffen wie MFA-Bombardierungen zu verhindern. Bei dieser Art von Angriff werden die Benutzer mit Genehmigungsanfragen von einem Angreifer überhäuft, in der Hoffnung, dass sie auf "Genehmigen" klicken. Die Funktion zum Abgleich von Nummern ist ein Beispiel dafür, dass falsche Genehmigungen vermieden werden, indem eine übereinstimmende Nummer angefordert wird, die auf dem Anmeldebildschirm des Benutzers angezeigt wird. Die Anzeige zusätzlicher Kontextinformationen für den Benutzer, wie z.B. die Herkunft der Anfrage, ist ein zweites Beispiel, das die Sicherheit weiter verbessern kann. Diese Option muss als Richtlinie für die Authentifizierungsmethode in Azure AD aktiviert werden.

2. Aktivieren Sie den bedingten Zugriff oder stellen Sie sicher, dass Sie die Sicherheitsvorgaben auf Ihrem kostenlosen Azure AD-Mandanten aktivieren

Die Azure AD-Sicherheitsvorgaben sind eine Reihe von Regeln, die Sie verwenden können, um mit einem vorkonfigurierten Satz von Sicherheitseinstellungen in Azure AD zu beginnen. Sie sind für alle Azure AD-Tiers verfügbar, auch für das kostenlose Tier. Tatsächlich müssen Sie die Sicherheitsvorgaben aktivieren, um die MFA-Einrichtung auf dem kostenlosen Azure AD-Tier durchzusetzen. Dadurch werden auch ältere Authentifizierungsprotokolle blockiert, mit denen die Multifaktor-Authentifizierung umgangen werden kann. Wenn die Sicherheitsvorgaben aktiviert sind, haben Sie keine Kontrolle darüber, wann die MFA-Aufforderung an den Benutzer erfolgt. Die MFA-Einrichtung wird zwar erzwungen, aber Azure AD entscheidet anhand von Signalen wie Standort, Gerät, Rolle und Aufgabe automatisch, ob eine Aufforderung angebracht ist.

Falls Sie eine genauere Kontrolle darüber wünschen, wann MFA dem Benutzer angezeigt wird, müssen Sie den bedingten Zugriff verwenden, der in den Premium Azure AD-Tiers verfügbar ist. Damit haben Sie auch die Möglichkeit, den Zugriff von bestimmten nicht autorisierten Standorten aus zu sperren, riskantes Anmeldeverhalten zu blockieren oder den Zugriff von nicht konformen Geräten aus zu blockieren. Dies sind alles Beispiele für Bedingungen, die Sie für bestimmte Benutzer oder Gruppen definieren können, bevor diese Zugriff erhalten. Die Aktivierung des bedingten Zugriffs kann Ihre Einrichtung in zweierlei Hinsicht verbessern. Erstens können Sie strenger sein, bevor Sie Zugriff gewähren, was die Angriffsfläche Ihrer Umgebung einschränkt. Wenn Sie von einem nicht konformen Gerät aus keinen Zugriff auf Ihre Azure-Umgebung haben, wird dies auch ein Angreifer nicht tun. Zweitens können Sie zwischen verschiedenen Arten des Zugriffs unterscheiden und die Authentifizierungsanforderungen für Administratoren im Vergleich zu normalen Benutzern verschärfen. Dadurch erhöhen Sie die Sicherheit, ohne dass dies allzu große Auswirkungen auf alle Ihre Benutzer hat.

3. Verwenden Sie Just-in-Time-Zugriff für Aufgaben, die höhere Privilegien erfordern

Nach erfolgreicher Authentifizierung ist die rollenbasierte Zugriffskontrolle (RBAC) von Azure das Autorisierungssystem, das eine fein abgestufte Zugriffskontrolle auf Azure-Ressourcen bietet. Die Ihrem Benutzerprofil zugewiesenen Rollen definieren, welche Aktionen Sie mit einer bestimmten Ressource durchführen können. Administratoren haben ihrem Profil in der Regel zusätzliche Rollen zugewiesen, um privilegierte Aktionen mit Azure-Ressourcen durchführen zu können. Das Problem ist, dass diese Rollenzuweisungen dauerhaft sind und daher von Angreifern, die Zugriff auf Ihr Konto haben, genutzt werden können oder Ihnen selbst Türen für Unfälle öffnen.

Privileged Identity Management (PIM) ist eine Premiumfunktion von Azure AD, die in der P2-Ebene verfügbar ist und diese Probleme behebt. Azure AD-Rollen mit höheren Privilegien werden mit PIM nicht mehr dauerhaft zugewiesen, sondern just-in-time nach einer Anfrage des Benutzers und für eine begrenzte Dauer. Diese Methode bietet eine Reihe von Vorteilen. So können Sie beispielsweise zusätzliche Genehmigungen durch andere Mitglieder verlangen, bevor der Zugriff gewährt wird, Sie können eine zusätzliche MFA-Abfrage erzwingen oder den Benutzer auffordern, einen Grund anzugeben, warum er diesen Zugriff für die beantragte Zeitdauer benötigt. Letzteres führt zu einem klaren Prüfungsverlauf für Ihre Umgebung.

4. Verwenden Sie nach Möglichkeit verwaltete Identitäten

Neben Benutzern haben wir auch Dienste, die Zugriff auf unsere Azure-Ressourcen benötigen. Zum Beispiel eine Azure Web App, die Daten in eine Azure SQL-Datenbank schreibt, eine Azure Function App, die Nachrichten von Azure Service Bus liest, usw. Beide Anwendungsfälle können gelöst werden, indem wir Geheimnisse mit unseren Diensten teilen. Wenn wir uns jedoch auf Geheimnisse verlassen, müssen wir sie auch verwalten und sicher speichern. An dieser Stelle kommen verwaltete Identitäten für Azure ins Spiel.

Mit Managed Identities für Azure wird unseren Diensten eine Identität in Azure AD zugewiesen. Wir können dieser Identität bestimmte Rollen zuweisen, genau wie wir es für Benutzer mit der rollenbasierten Zugriffskontrolle (RBAC) von Azure tun. Der Dienst selbst verwendet seine Identität im Hintergrund, um ein Azure AD-Token zu erhalten, das für den Zugriff auf den angeforderten Dienst verwendet werden kann. Die Vorteile sind, dass keine Geheimnisse verwaltet werden müssen, es sicherer ist und die Nutzung kostenlos ist.

5. Speichern Sie Geheimnisse, Schlüssel und Zertifikate in Azure Key Vault

Nach der Implementierung von Managed Identities für Azure haben Sie nicht mehr viele Geheimnisse zu verwalten. Es gibt jedoch zwei Szenarien, die weiterhin eine Schlüsselverwaltung erfordern. Erstens: Dienste, die nicht mit Azure AD integriert sind, verwenden immer noch Geheimnisse, Schlüssel oder Zertifikate, die Sie an einem sicheren Ort aufbewahren müssen. Azure Key Vault ist ein bekannter Azure-Dienst, der diese sicher aufbewahren kann.

Zweitens: Wenn Sie sich dafür entscheiden, die Verschlüsselungsschlüssel für Azure Disk Encryption selbst mit Customer Managed Keys (CMK) zu verwalten, müssen Sie diese Schlüssel auch im Key Vault speichern. Im Gegensatz dazu werden Platform Managed Keys (PMK) von Azure im Hintergrund verwaltet, bieten aber weniger Flexibilität.

Durch die Kombination von verwalteten Identitäten und Azure Key Vault wird die Lösung noch besser. Ein in Azure AD integrierter Dienst kann über eine verwaltete Identität auf Azure Key Vault zugreifen und ein Geheimnis, einen Schlüssel oder ein Zertifikat anfordern. Auf diese Weise ist unser Key Vault der einzige dedizierte Ort für geheime Informationen und wir können Azure rollenbasierte Zugriffskontrolle (RBAC) verwenden, um die Zugriffsrechte zu verwalten.

6. Organisieren Sie Ihre Azure-Ressourcen effektiv, um Ihre Zugriffs- und Richtlinienverwaltung zu verbessern

Wenn die Anzahl der Ressourcen wächst, wird es sehr schwierig, Ihre rollenbasierten Zugriffskontrolllisten oder Azure-Richtlinien auf Ressourcenebene zu steuern. Um jedoch den Zugriff auf einer höheren Ebene zu verwalten und gleichzeitig das Prinzip der geringsten Privilegien anzuwenden, müssen Sie Ressourcen mit denselben Zugriffsrechten zusammenfassen. Azure-Ressourcen können auf vier verschiedenen Ebenen organisiert werden: Verwaltungsgruppen, Abonnements, Ressourcengruppen und die Ressourcen selbst. Eine effektive Organisation erleichtert die Verwaltung, Kostenverfolgung und Sicherung Ihrer Ressourcen.

Es gibt keine allgemeingültige Methode zur Organisation von Ressourcen, die für jeden geeignet ist, aber hier sind einige Faustregeln für den Anfang. Bei der Anwendungsentwicklung werden produktive und nicht produktive Ressourcen in der Regel in verschiedenen Abonnements verwaltet, um eine klare Grenze zwischen beiden zu ziehen und den Zugriff und die Richtlinienverwaltung zu erleichtern. Ressourcen, die verschiedenen Teams gehören, können in verschiedenen Abonnements gespeichert werden. Und schließlich können Verwaltungsgruppen verwendet werden, um Abonnements zu gruppieren, die zur gleichen Abteilung gehören und einige gemeinsame Zugriffsrechte oder Richtlinien haben.

7. Machen Sie das private Netzwerk zur Standardeinstellung für Ihre Azure-Ressourcen

Wenn Sie Ressourcen in Azure erstellen, sind diese in den meisten Fällen dem öffentlichen Internet ausgesetzt. Zum Beispiel sind eine Azure Web App, ein Speicherkonto oder eine virtuelle Maschine ohne weitere Änderungen über das Internet zugänglich. Es gibt Situationen, in denen Sie diese öffentliche Verfügbarkeit wünschen. Denken Sie an die öffentliche Website Ihres Unternehmens. Aber im Allgemeinen ist es besser, mit einem privaten Netzwerk zu beginnen und bestimmte Endpunkte explizit freizugeben. Indem Sie diese Endpunkte explizit als öffentlich markieren, können Sie bei Bedarf auch den Schutz verbessern. Wenn Sie beispielsweise Azure Application Gateway oder Azure Front Door hinzufügen, erhalten Sie Web Application Firewall (WAF)-Funktionen, um die Sicherheit dieser Endpunkte weiter zu verbessern.

Die Kennzeichnung von Endpunkten als öffentlich oder privat ist nicht so einfach, wie es klingt. Alles beginnt mit einem guten Netzwerkdesign. Die Hub-and-Spoke-Topologie, die wir im Rahmen der Azure Landing Zones in unserem letzten Magazin besprochen haben, ist ein guter Ausgangspunkt. Der Hub im virtuellen Netzwerk kann über eine VPN- oder ExpressRoute-Verbindung an ein lokales Netzwerk angeschlossen werden. So wird eine sichere und private Verbindung gewährleistet. Die Verwendung von Netzwerksicherheitsgruppen, privaten Endpunkten, privatem DNS und der VNET-Integration stellt außerdem sicher, dass sich Ihre Dienste über ein privates Netzwerk miteinander verbinden und nicht über das öffentliche Internet. Beachten Sie, dass einige dieser Funktionen nur in den höheren Preisstufen verfügbar sind. Ein Teil unserer Dienstleistungen bei Xpirit besteht darin, Ihnen zu helfen, die richtige Balance zwischen Kosten und Funktionen zu finden.

8. Schützen Sie Ihre Daten mit Verschlüsselung

Alle vorherigen Tipps und Tricks sind hier zu finden, um den Zugriff unbefugter Benutzer auf Ihre Azure-Umgebung zu verhindern. Eine weitere Möglichkeit, Ihre Umgebung zu schützen, besteht darin, sicherzustellen, dass Ihre Daten durch Verschlüsselung für einen potenziellen Angreifer nicht lesbar sind.

Zunächst können wir die Verschlüsselung bei der Übertragung nutzen. Das bedeutet, dass wir die Daten verschlüsseln, bevor wir sie über das Netzwerk senden. Ein typisches Beispiel hierfür ist die TLS-Verschlüsselung, die mit HTTPS verwendet wird. Indem wir HTTP-Endpunkte deaktivieren oder den Datenverkehr auf HTTPS umleiten, stellen wir sicher, dass unsere Daten für Angreifer unlesbar sind.

Zweitens haben wir auch eine Verschlüsselung im Ruhezustand. Azure Storage bietet automatische serverseitige Verschlüsselung für Speicherkonten. Dadurch werden die Daten für nicht autorisierte Benutzer unlesbar. Virtuelle Maschinen unter Windows oder Linux können ebenfalls von der Verschlüsselung mit Azure Disks profitieren. Mit dieser Funktion können Sie sowohl die Daten als auch die Betriebssystemfestplatten verschlüsseln.

9. Stellen Sie sicher, dass Sie ausstehende Updates anwenden

Die Anwendung von Updates ist ein wichtiger Teil der Sicherheit und wenn Sie sich für eine Cloud-Plattform wie Azure entscheiden, werden einige Updates von Microsoft durchgeführt. Eine Cloud-Plattform geht jedoch mit einer gemeinsamen Verantwortung einher und es gibt Teile Ihrer Umgebung, für die Sie verantwortlich sind und die Sie regelmäßig aktualisieren müssen. Es ist wichtig, dass Sie Ihre Verantwortlichkeiten kennen, bevor Sie einen bestimmten Dienst nutzen. Ich werde im Folgenden einige Beispiele nennen.

Bei Platform-as-a-Service (PaaS) Produkten wird die Plattform, wie der Name schon sagt, von Azure verwaltet. Sie müssen zum Beispiel keine Sicherheits-Patches für die .NET-Laufzeitumgebung eines Azure App Service anwenden. Die Anwendung von Paket-Updates für Ihre Software ist jedoch ein Beispiel für Komponenten, für die Sie verantwortlich sind. Ein Tool wie Dependabot kann Sie über anstehende Paketaktualisierungen informieren. Mehr dazu erfahren Sie in der letzten Ausgabe unseres Magazins.

Virtuelle Maschinen sind Infrastructure-as-a-Service (IaaS)-Produkte, die mehr Wartung von Ihrer Seite erfordern. Die Hardwarekomponenten wie CPU, Speicher, Festplatten, Kühlung usw. werden von Azure verwaltet, aber für die installierte Software sind Sie verantwortlich. Azure Automation kann Ihnen bereits bei der Update-Verwaltung Ihres Betriebssystems helfen, aber die anderen Software-Patches erfordern zusätzliche Maßnahmen Ihrerseits.

10. Überwachen Sie Ihre Umgebung und verbessern Sie sie kontinuierlich

Auch wenn alle Sicherheitsmaßnahmen getroffen wurden, ist es wichtig, Ihre Azure-Umgebung zu überwachen und bei Bedarf kontinuierlich zu verbessern. Microsoft Defender for Cloud (früher bekannt als Azure Security Center) integriert verschiedene Sicherheitsüberwachungen, Compliance-Prüfungen und Warnmeldungen in einem einzigen Dashboard. Das macht es zu einem guten Ort, um nach potenziellen Verbesserungen für Ihre Umgebung zu suchen.

Fazit

Wir hoffen, dass Sie mit diesen zehn Tipps und Tricks Ihre Reise in die Cloud auf sichere Weise beginnen können. Bitte kontaktieren Sie uns, wenn Sie Fragen zur Sicherheit Ihrer Azure-Umgebung haben. Mit unserem Cloud Security Scan können wir den aktuellen Zustand Ihrer Umgebung bewerten und mögliche Sicherheitsoptimierungen festlegen.