Bewährte Methoden für Netzwerksicherheit: Microsoft Azure
Posted by Julia Werner •
Internetzugriff für bestimmte Programme mit Windows Firewall verbieten
Grundsätzlich sollte man nur Software auf seinem Computer installieren, der man auch vertraut. Trotzdem kann es Gründe geben, warum man einem einzelnen Programm auf dem Computer den Internetzugriff verbieten will. Unter Windows 10 wird hierfür keine zusätzliche Software benötigt. Über die Windows 10 Firewall kann man gezielt einzelne Programme vom Zugriff auf das Netzwerk und Internet ausschließen und so mit der Windows 10 Firewall ein Programm blockieren, dass auf das Netzwerk zugreifen will.
Einem Programm den Internetzugriff zu entziehen kann für mehr Komfort und Sicherheit sorgen. Software die nicht vertrauenswürdig ist, sollte allerdings gar nicht erst auf dem Computer landen. Vor schädlicher Software kann man sich günstig mit einer Sicherheitssoftware wie Norton 360 Premium 2022* schützen.
Internetzugriff für ein bestimmtes Programm mit der Windows 10 Firewall blocken
Um einem bestimmtem Programm den Netzwerkzugriff zu verbieten, muss in der Windows Firewall eine neue Regel erstellt werden. Hierzu öffnet man die Windows Defender Firewall, indem man im Startmenü nach Firewall sucht, oder den entsprechenden Punkt über die Systemsteuerung aufruft. Dann klickt man auf den Menüpunkt Erweiterte Einstellungen. Hier findet man zu Optionen um die Windows 10 Firewall einzustellen, bzw. zu konfigurieren.
Im folgenden Fenster klickt man mit der rechten Maustaste auf Ausgehende Regel und dann auf Neue Regel. Hier wählt man den Punkt Programm und klickt auf weiter.
Dann gibt man das Programm an, für welches die Regel erstellt werden soll. Mit einem Klick auf den Button „Durchsuchen“, öffnet sich ein Explorerfenster in welchem man das gewünschte Programm suchen kann. Alternativ kann man direkt den Pfad zum Programm im Textfeld angeben. Zu Demonstrationszwecken habe ich hier den Webbrowser Firefox ausgewählt.
Dann definiert man, was die Regel machen soll. In diesem Fall sollen alle Verbindungen blockiert werden. Daher wählt man die Option „Verbindung blockieren„.
Im folgenden Schritt gibt man an, in welchen Netzwerken die Regel angewendet werden soll. Ob es sich beim gerade verwendeten NEtzwerk um ein privates oder ein öffentliches Netzwerk handelt, legt man bei der Netzwerkeinrichtung, bzw. bei der ersten Verbindung fest. Im Zweifel sollten einfach alle Optionen ausgewählt werden.
Anzeige
Im letzten Schritt muss noch ein Name für die neu erstellte Regel festgelegt werden. Dieser kann frei vergeben werden. Ein Klick auf „Fertig stellen“ erstellt und aktiviert die neue Regel. Damit sollte nun der Webbrowser Firefox keinen Netzwerkzugriff mehr haben. In der Praxis macht es natürlich keinen Sinn, den Webbrowser vom Netzwerk abzuschneiden. Zu Testzwecken ist der Browser jedoch gut geeignet.
Wenn ich nun versuche mit Firefox eine Webseite aufzurufen kommt es zu einer Fehlermeldung. Firefox hat keinen Zugriff mehr auf das Netzwerk und das Internet.
Damit das blockierte Programm wieder Zugriff auf das Netzwerk bekommt kann die Regel deaktiviert oder gelöscht werden. Hierzu klickt man einfach die neu erstellte Regel mit der rechten Maustaste an und wählt die gewünschte Aktion.
Wie man den Netzwerkzugriff für ein Programm mit der Windows Firewall blockiert, kannst du dir auch in meinem Video anschauen.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren Video laden YouTube immer entsperren
5 einfache Schritte für effektive Cloud-Netzwerksicherheit
Traditionelle Netzwerksicherheit schützt Endpunkte und das Data Center innerhalb des Perimeters, indem physische und softwarebasierte Kontrollen angewendet werden, um eine unbefugte Nutzung der Infrastruktur zu verhindern. Dieser Ansatz schützt Server und andere Unternehmensgeräte vor Angriffen, die Daten oder andere Werte stehlen oder kompromittieren können.
Doch Sicherheitsstrategien müssen sich weiterentwickeln, wenn Unternehmen Workloads in die Cloud verlagern. Die Cloud hat den Wandel vorangetrieben und zu hybriden Architekturen geführt, bei denen einige Workloads in der Cloud und andere On-Premises (lokal) ausgeführt werden.
Sichere Konnektivität ist entscheidend für die Stabilität dieser Umgebungen und den Schutz der darauf laufenden Assets. Aber diese hybride Architektur bringt auch neue Komplexitäten mit sich, da Unternehmen Aktivitäten über hochgradig verteilte Ressourcen hinweg verfolgen. Aus diesem Grund suchen Firmen nach Möglichkeiten, wirksame Sicherheitsmaßnahmen für die Cloud-Netzwerke auf mehreren Ebenen ihrer Infrastrukturen einzubetten.
Die Cloud-Netzwerksicherheit umfasst alle Richtlinien, Schutzvorkehrungen und Praktiken, die erforderlich sind, um die Infrastruktur, Systeme und Daten vor unbefugtem Zugriff oder missbräuchlicher Verwendung – ob absichtlich oder nicht – zu schützen. Eine erfolgreiche Sicherheitsstrategie für Cloud-Netzwerke baut auf den grundlegenden Komponenten der konventionellen Netzwerksicherheit auf: schützen, erkennen und reagieren. Sie erfordert außerdem, dass Unternehmen die besonderen Probleme verstehen, die mit der Absicherung von hybriden On-Demand-Umgebungen verbunden sind. Nachfolgend finden Sie fünf wesentliche Faktoren, die es zu berücksichtigen gilt.
1. Geteilte Verantwortung Die Cloud verwischt die traditionellen Grenzen der Netzwerksicherheit. IaaS-Anbieter zum Beispiel integrieren Kontrollen in ihre physischen und virtuellen Infrastrukturen und verlassen sich bei der Absicherung der Umgebung auf Best Practices. In ähnlicher Weise betten SaaS-Anbieter (Software as a Service) Schutzmaßnahmen in ihre Anwendungen und Einrichtungen ein. Aber Unternehmen müssen wissen, dass ihre Daten nicht nur in der Cloud, sondern in der gesamten Umgebung geschützt sind. Das ist nicht einfach, weil es immer wieder blinde Flecken gibt, in denen sich potenzielle Schwachstellen verbergen können. Aus diesem Grund bieten Provider und Drittanbieter von Sicherheitslösungen eine Vielzahl von Zusatz-Tools an. Das Portfolio reicht von Monitoring-Software bis zu Paket-Sniffern, die dazu dienen, die Cloud-Netzwerksicherheit zu erhöhen. Telekommunikationsunternehmen offerieren unterdessen eine Reihe von Cloud-Sicherheits-Tools, die die Daten auf ihrem Weg durch die hybride Umgebung schützen sollen. Daher muss die IT alle Kontrollen verstehen, die die Provider in ihre Services einbetten, und erkennen, wo potenzielle Schwachstellen bestehen könnten. Ein Gespräch darüber sollte stattfinden, bevor Sie irgendwelche Verträge unterzeichnen. Sichere Konnektivität ist entscheidend für die Stabilität dieser Umgebungen und den Schutz der darauf laufenden Assets.
2. Software-defined Access Ein optimaler Cloud-Betrieb erfordert, dass Sicherheit ein integraler Bestandteil des Netzwerks ist. Dieser Ansatz umfasst richtlinienbasierte, Software-defined-Verfahren, die über die Cloud in einem sogenannten Secure Access Service Edge (SASE) bereitgestellt werden. SASE wiederum stützt sich auf eine Vielzahl von Cloud-basierten Diensten zum Schutz von Werten in der gesamten hybriden Umgebung. Dazu zählen Cloud Access Security Broker (CASB), Secure Web Gateways (SWG), Firewall as a Service und Funktionen wie Browser-Isolation. Zero Trust, bei dem alle Entitäten als potenziell schädlich gelten, bis sie als sicher authentifiziert sind, ist eine wichtige Komponente von SASE. Viele Unternehmen verwenden Zero Trust Network Access (ZTNA). Hierbei werden IP-Adressen unkenntlich gemacht und der Anwendungszugriff vom Netzwerkzugriff getrennt. Auf diese Weise lassen sich Netzwerkressourcen vor Bedrohungen wie Malware schützen, die auf einem kompromittierten System läuft. Der Anwendungszugriff wird nur Benutzern und Geräten gewährt, die authentifiziert und autorisiert sind.
3. Netzwerksegmentierung ZTNA kann in Verbindung mit Netzwerksegmentierung die Cloud-Netzwerksicherheit erhöhen. Bei der Netzwerksegmentierung wird das physische Netzwerk in kleinere Teile gesplittet. Die IT kann mithilfe von Virtualisierung das Netzwerk mikrosegmentieren und so Netzwerkzonen einrichten, die präzise genug sind, um eine einzelne Workload zu unterstützen. Diese Zonen dienen als virtuelle Mauern, um Cyberangreifer daran zu hindern, sich ungehindert durch die hybride Umgebung zu bewegen. Fortschritte in der Automatisierung ermöglichen es Unternehmen heute, Zonen auf Grundlage sich ändernder Bedingungen und etablierter Policies zu erstellen. Dadurch kann man neue Zonen schaffen, wenn die Umgebung größer wird, und die Anzahl der Segmente reduzieren, wenn sie kleiner wird.
4. Verschlüsselung Unternehmen sollten sicherstellen, dass sowohl Data at Rest als auch Data in Transit verschlüsselt werden. Cloud Provider bieten üblicherweise Verschlüsselungsdienste an, aber Vorsicht: sie sind nicht alle gleich. Außerdem benötigt nicht jeder Anwendungs-Workload den gleichen Grad an Verschlüsselung. E-Mails beispielsweise benötigen möglicherweise nur einen Schutz auf Transit-Ebene. Hierbei werden Nachrichten nur auf ihrem Weg durch das Netzwerk verschlüsselt. Im Gegensatz dazu werden bei einer Ende-zu-Ende-Verschlüsselung die Nachrichten erst entschlüsselt, wenn sie ihr Ziel erreichen. Ersteres ist weniger sicher, aber auch weniger kostspielig als Letzteres.
Bewährte Methoden für Netzwerksicherheit: Microsoft Azure
Inhaltsverzeichnis
Bewährte Methoden für die Netzwerksicherheit in Azure
Artikel
10/19/2022
16 Minuten Lesedauer
13 Mitwirkende Feedback
In diesem Artikel
In diesem Artikel werden bewährte Methoden zur Verbesserung der Netzwerksicherheit in Azure beschrieben. Diese empfohlenen Vorgehensweisen sind aus unseren Erfahrungen mit dem Azure-Netzwerk und den Erfahrungen von Kunden wie Ihnen abgeleitet.
In diesem Artikel wird für jede bewährte Methode Folgendes erläutert:
Wobei es bei der bewährten Methode geht
Warum Sie die bewährte Methode nutzen sollten
Was die Folge sein könnte, wenn Sie die bewährte Methode nicht aktivieren
Mögliche Alternativen zur bewährten Methode
Wie Sie erfahren können, wie Sie die empfohlenen Vorgehensweisen aktivieren
Diese bewährten Methoden basieren auf einer Konsensmeinung und den Fähigkeiten und Funktionssätzen der Azure-Plattform zum Erstellungszeitpunkt dieses Artikels. Meinungen und Technologien ändern sich im Laufe der Zeit. Dieser Artikel wird daher regelmäßig aktualisiert, um diese Änderungen widerzuspiegeln.
Verwenden von starken Netzwerksteuerungen
Sie können virtuelle Azure-Computer (VMs) und Appliances mit anderen Geräten im Netzwerk verbinden, indem Sie sie in Azure Virtual Networks anordnen. Dies ist ein Konstrukt, mit dem Sie virtuelle Netzwerkschnittstellenkarten mit einem virtuellen Netzwerk verbinden können, um die TCP/IP-basierte Kommunikation zwischen netzwerkfähigen Geräten zu ermöglichen. Virtuelle Computer, die mit einem Azure Virtual Network verbunden sind, können eine Verbindung mit Geräten im selben virtuellen Netzwerk, anderen virtuellen Netzwerken, im Internet oder sogar in eigenen lokalen Netzwerken herstellen.
Wenn Sie Ihr Netzwerk und die Sicherheit Ihres Netzwerks planen, empfehlen wir, Folgendes zu zentralisieren:
Verwaltung von Kernnetzwerkfunktionen wie ExpressRoute, Bereitstellung von virtuellen Netzwerken und Subnetzen und IP-Adressvergabe.
Kontrolle über Elemente der Netzwerksicherheit, etwa Funktionen virtueller Netzwerkappliances wie ExpressRoute, Bereitstellung von virtuellen Netzwerken und Subnetzen und IP-Adressvergabe.
Wenn Sie gemeinsame Verwaltungstools zum Überwachen Ihres Netzwerks und der Sicherheit Ihres Netzwerks verwenden, erhalten Sie einen klaren Einblick in beide Aspekte. Eine einfache und einheitliche Sicherheitsstrategie sorgt für weniger Fehler, da sie das menschliche Verständnis und die Zuverlässigkeit der Automatisierung erhöht.
Logische Segmentsubnetze
Virtuelle Azure-Netzwerke ähneln einem LAN in Ihrem lokalen Netzwerk. Virtuelle Azure-Netzwerke basieren auf der Idee, ein Netzwerk mit einem einzigen privaten IP-Adressraum zu erstellen, in dem Sie alle virtuellen Azure-Computer anordnen können. Die verfügbaren privaten IP-Adressräume liegen in den Bereichen der Klasse A (10.0.0.0/8), Klasse B (172.16.0.0/12) und Klasse C (192.168.0.0/16).
Zu den bewährten Methoden für die logische Segmentierung von Subnetzen gehören:
Bewährte Methode: Weisen Sie keine Zulassungsregeln mit umfassenden Bereichen zu (z. B. Zulassen von 0.0.0.0 bis 255.255.255.255).
Detail: Stellen Sie sicher, dass Problembehandlungsverfahren vom Einrichten dieser Arten von Regeln abraten oder es untersagen. Diese Zulassungsregeln führen zu einem falschen Gefühl der Sicherheit, und sie werden häufig von Red Teams gefunden und ausgenutzt.
Bewährte Methode: Unterteilen Sie den größeren Adressraum in Subnetze.
Detail: Sie können CIDR-basierte Subnetzprinzipien verwenden, um die Subnetze zu erstellen.
Bewährte Methode: Erstellen Sie Netzwerkzugriffssteuerungen zwischen Subnetzen. Das Routing zwischen den Subnetzen wird automatisch durchgeführt, und es ist nicht erforderlich, Routingtabellen manuell zu konfigurieren. Standardmäßig gibt es keine Netzwerkzugriffssteuerung zwischen den Subnetzen, die Sie in virtuellen Azure-Netzwerken erstellen.
Detail: Verwenden Sie eine Netzwerksicherheitsgruppe, um vor unerwünschtem Datenverkehr in Azure-Subnetzen zu schützen. Bei Netzwerksicherheitsgruppen handelt es sich um einfache zustandsbehaftete Paketuntersuchungsgeräte, die mit einem 5-Tupel-Ansatz (Quell-IP, Quellport, Ziel-IP, Zielport und Protokoll der Schicht 4) Zulassungs-/Verweigerungsregeln für den Netzwerkdatenverkehr erstellen. Sie können Datenverkehr für eine einzelne IP-Adresse, mehrere IP-Adressen und gesamte Subnetze in beiden Richtungen zulassen oder verweigern.
Bei der Verwendung von Netzwerksicherheitsgruppen für die Netzwerkzugriffssteuerung zwischen Subnetzen können Sie Ressourcen, die derselben Sicherheitszone oder Rolle angehören, in eigenen Subnetzen anordnen.
Bewährte Methode: Vermeiden Sie für weniger Komplexität und mehr Flexibilität kleine virtuelle Netzwerke und Subnetze.
Detail: Die meisten Organisationen fügen mehr Ressourcen hinzu, als anfänglich geplant waren, und das erneute Zuordnen von Adressen ist arbeitsaufwendig. Die Verwendung von kleinen Subnetzen hat einen beschränkten Sicherheitswert, und das Zuordnen einer Netzwerksicherheitsgruppe für jedes Subnetz sorgt für Mehraufwand. Definieren Sie Subnetze allgemein, um Flexibilität für Wachstum sicherzustellen.
Bewährte Methode: Vereinfachen Sie die Regelverwaltung für Netzwerksicherheitsgruppen, indem Sie Anwendungssicherheitsgruppen definieren.
Detail: Definieren Sie eine Anwendungssicherheitsgruppe für Listen von IP-Adressen, die Ihrer Ansicht nach in Zukunft geändert oder für viele Netzwerksicherheitsgruppen verwendet werden könnten. Verwenden Sie aussagekräftige Namen für die Anwendungssicherheitsgruppen, damit andere Personen ihren Inhalt und Zweck verstehen.
Einführen eines Zero Trust-Ansatzes
Umkreisnetzwerke basieren auf der Annahme, dass alle Systeme in einem Netzwerk vertrauenswürdig sind. Heutzutage greifen Mitarbeiter jedoch von jedem Ort aus und über eine Vielzahl von Geräten und Apps auf ihre Organisationsressourcen zu. Dadurch sind Sicherheitskontrollen auf Grundlage des Umkreises nicht mehr relevant. Zugriffssteuerungsrichtlinien, die nur darauf basieren, wer auf eine Ressource zugreifen kann, sind nicht ausreichend. Um das Gleichgewicht zwischen Sicherheit und Produktivität zu wahren, müssen Sicherheitsadministratoren auch berücksichtigen, wie auf eine Ressource zugegriffen wird.
Netzwerke müssen sich von traditionellen Schutzmaßnahmen weiterentwickeln, da sie möglicherweise anfällig für Sicherheitsverletzungen sind: Ein Angreifer kann einen einzigen Endpunkt innerhalb der vertrauenswürdigen Grenze gefährden und dann schnell im gesamten Netzwerk Fuß fassen. Zero Trust-Netzwerke setzen das Konzept von Vertrauen anhand des Netzwerkstandorts in einem Umkreis außer Kraft. Stattdessen verwenden Zero Trust-Architekturen Vertrauensansprüche für Geräte und Benutzer, um den Zugriff auf Unternehmensdaten und -ressourcen zu steuern. Übernehmen Sie für neue Szenarien Zero Trust-Ansätze, die die Vertrauenswürdigkeit zum Zeitpunkt des Zugriffs überprüfen.
Bewährte Methoden:
Bewährte Methode: Gewähren Sie bedingten Zugriff auf Ressourcen basierend auf Gerät, Identität, Assurance, Netzwerkadresse und anderen.
Detail: Mit bedingtem Zugriff mit Azure AD können Sie die passende Zugriffssteuerung anwenden, indem Sie automatisierte Entscheidungen hinsichtlich der Zugriffssteuerung anhand der erforderlichen Bedingungen implementieren. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf die Azure-Verwaltung mit bedingtem Zugriff.
Bewährte Methode: Aktivieren Sie den Portzugriff erst nach Genehmigung des Workflows.
Detail: Sie können Just-In-Time-VM-Zugriff in Microsoft Defender für Cloud verwenden, um eingehenden Datenverkehr auf den Azure-VMs zu sperren und dadurch die Gefährdung durch Angriffe zu reduzieren und bei Bedarf einen einfachen Zugriff auf Verbindungen mit virtuellen Computern bereitzustellen.
Bewährte Methode: Gewähren Sie temporäre Berechtigungen zum Ausführen privilegierter Aufgaben. Dadurch wird verhindert, dass böswillige oder nicht autorisierte Benutzer nach dem Ablauf der Berechtigungen Zugriff erhalten. Der Zugriff wird nur gewährt, wenn Benutzer ihn benötigen.
Detail: Verwenden Sie Just-In-Time-Zugriff in Azure AD Privileged Identity Management oder in einer Drittanbieterlösung, um Berechtigungen zum Ausführen privilegierter Aufgaben zu gewähren.
Zero Trust ist der nächste Entwicklungsschritt bei der Netzwerksicherheit. Die Cyberangriffssituation bringt Organisationen dazu, grundsätzlich von Sicherheitsverletzungen auszugehen, aber dieser Ansatz sollte nicht zu Beschränkungen führen. Zero Trust-Netzwerke schützen Unternehmensdaten und -ressourcen und stellen gleichzeitig sicher, dass Organisationen mithilfe von Technologien, mit denen Mitarbeiter jederzeit, überall und auf jede erdenkliche Weise produktiv arbeiten können, ein modernes Unternehmen schaffen können.
Steuern des Routingverhaltens
Wenn Sie einen virtuellen Computer in einem Azure Virtual Network anordnen, kann die VM eine Verbindung mit jeder anderen VM in demselben virtuellen Netzwerk verbinden, auch wenn sich die anderen VMs in unterschiedlichen Subnetzen befinden. Dies ist möglich, weil standardmäßig aktivierte Systemrouten diese Art der Kommunikation ermöglichen. Diese Standardrouten ermöglichen VMs in demselben virtuellen Netzwerk die Initiierung von Verbindungen untereinander und mit dem Internet (gilt nur für ausgehende Kommunikation mit dem Internet).
Die standardmäßigen Systemrouten sind zwar für viele Bereitstellungsszenarien nützlich, aber es kann auch vorkommen, dass Sie die Routingkonfiguration für Ihre Bereitstellungen anpassen möchten. Sie können die nächste Hopadresse konfigurieren, um bestimmte Ziele zu erreichen.
Wir empfehlen Ihnen, beim Bereitstellen einer Sicherheitsappliance für ein virtuelles Netzwerk benutzerdefinierte Routen zu konfigurieren. Wir erläutern dies in einem späteren Abschnitt mit dem Titel Beschränken und Schützen Ihrer kritischen Ressourcen von Azure-Diensten auf Ihre virtuellen Netzwerke.
Hinweis Benutzerdefinierte Routen sind nicht erforderlich, und die Standardsystemrouten funktionieren in der Regel.
Verwenden virtueller Network Appliances
Netzwerksicherheitsgruppen und benutzerdefiniertes Routing können ein gewisses Maß an Netzwerksicherheit in der Netzwerk- und der Transportschicht des OSI-Modells bieten. Aber in einigen Situationen wollen oder müssen Sie die Sicherheit auf hohen Ebenen des Stapels aktivieren. In diesen Situationen ist es ratsam, von Azure-Partnern angebotene Appliances für die Sicherheit virtueller Netzwerke bereitzustellen.
Sicherheitsappliances für Azure-Netzwerke können eine bessere Sicherheit bieten als die auf Netzwerkebene verfügbaren Steuerungen. Netzwerksicherheitsfunktionen, die von Sicherheitsappliances für virtuelle Netzwerke bereitgestellt werden, sind beispielsweise:
Firewall
Angriffserkennung/Eindringschutz
Verwaltung von Sicherheitsrisiken
Anwendungssteuerung
Netzwerkbasierte Erkennung von Anomalien
Webfilterung
Virenschutz
Botnet-Schutz
Die für ein virtuelles Azure-Netzwerk verfügbaren Sicherheitsappliances finden Sie im Azure Marketplace. Suchen Sie nach den Begriffen „Sicherheit“ und „Netzwerksicherheit“.
Bereitstellen von Umkreisnetzwerken für Sicherheitszonen
Ein Umkreisnetzwerk (auch als DMZ bezeichnet) ist ein physisches oder logisches Netzwerksegment, das als zusätzliche Sicherheitsebene zwischen Ihren Ressourcen und dem Internet zu dient. Spezielle Geräte für die Netzwerkzugriffssteuerung am Rande eines Umkreisnetzwerks erlauben nur den gewünschten Datenverkehr in Ihrem virtuellen Netzwerk.
Umkreisnetzwerke sind nützlich, da Sie sich bei der Verwaltung, Überwachung, Protokollierung und Berichterstellung für die Netzwerkzugriffssteuerung auf die Geräte am Rand des Azure Virtual Network konzentrieren können. In einem Umkreisnetzwerk aktivieren Sie normalerweise DDoS-Verhinderung (Distributed Denial of Service), Angriffserkennungs-/Eindringschutzsysteme (IDS/IPS), Firewallregeln und -richtlinien, Webfilterung, Antischadsoftware für das Netzwerk usw. Die Geräte für die Netzwerksicherheit sind zwischen dem Internet und Ihrem Azure Virtual Network angeordnet und verfügen in beiden Netzwerken über eine Schnittstelle.
Dies ist das grundlegende Design eines Umkreisnetzwerks, aber es gibt noch viele andere Designs, z. B. Back-to-Back, Tri-Homed und Multi-Homed.
Basierend auf dem zuvor beschriebenen Zero Trust-Konzept empfehlen wir für alle Bereitstellungen mit hohen Sicherheitsanforderungen die Nutzung eines Umkreisnetzwerks, um die Stufe der Netzwerksicherheit und der Zugriffssteuerung für Ihre Azure-Ressourcen zu erhöhen. Sie können Azure oder eine Drittanbieterlösung verwenden, um eine zusätzliche Sicherheitsebene zwischen Ihren Ressourcen und dem Internet bereitzustellen:
Native Azure-Kontrollen. Azure-Firewall und Web Application Firewall in Application Gateway bieten grundlegende Sicherheit mit einer vollständig zustandsbehafteten Firewall als Dienst, integrierte Hochverfügbarkeit, uneingeschränkte Cloudskalierbarkeit, FQDN-Filterung, Unterstützung für OWASP-Kernregelsätze sowie einfache Einrichtung und Konfiguration.
Angebote von Drittanbietern. Suchen Sie im Azure Marketplace nach Angeboten für Next-Generation-Firewalls (NGFW) und anderen Drittanbieterangeboten, die vertraute Sicherheitstools und erheblich verbesserte Netzwerksicherheit bieten. Die Konfiguration ist möglicherweise komplexer, aber mit einem Angebot eines Drittanbieters können Sie eventuell bereits vorhandene Fähigkeiten und Kenntnisse einsetzen.
Viele Organisationen haben sich für die Hybrid-IT-Route entschieden. Bei Hybrid-IT befinden sich einige Datenressourcen des Unternehmens in Azure, während andere weiterhin lokal gespeichert sind. In vielen Fällen werden einige Komponenten eines Diensts in Azure ausgeführt, während andere Komponenten weiterhin lokal vorhanden sind.
Bei einem Hybrid-IT-Szenario wird normalerweise eine Art von standortübergreifender Konnektivität verwendet. Standortübergreifende Konnektivität ermöglicht es dem Unternehmen, seine lokalen Netzwerke mit Azure Virtual Networks zu verbinden. Es sind zwei Lösungen für standortübergreifende Konnektivität verfügbar:
Site-to-Site-VPN. Dies ist eine vertrauenswürdige, zuverlässige und bewährte Technologie, aber die Verbindung erfolgt über das Internet. Die Bandbreite ist mit einem Maximum von ca. 1,25 GBit/s relativ begrenzt. Site-to-Site-VPN ist in einigen Szenarien eine wünschenswerte Option.
Azure ExpressRoute. Wir empfehlen, dass Sie für Ihre standortübergreifende Konnektivität ExpressRoute verwenden. Mit ExpressRoute können Sie Ihre lokalen Netzwerke über eine private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, auf die Microsoft Cloud ausdehnen. Mit ExpressRoute können Sie Verbindungen mit Microsoft Cloud Services wie Azure, Microsoft 365 und Dynamics 365 herstellen. ExpressRoute ist ein dedizierter WAN-Link zwischen Ihrem lokalen Standort und einem Microsoft Exchange-Hostinganbieter. Da dies eine Telekommunikationsverbindung ist, werden Ihre Daten nicht über das Internet übertragen und unterliegen daher auch nicht den potenziellen Risiken der Internetkommunikation.
Der Standort Ihrer ExpressRoute-Verbindung kann sich auf die Firewall-Kapazität, die Skalierbarkeit, die Zuverlässigkeit und die Sichtbarkeit des Netzwerkdatenverkehrs auswirken. Sie müssen ermitteln, wo Sie ExpressRoute in vorhandenen (lokalen) Netzwerken beenden sollten. Ihre Möglichkeiten:
Führen Sie die Beendigung außerhalb der Firewall aus (Umkreisnetzwerkparadigma), wenn Sie Einblick in den Datenverkehr benötigen, eine vorhandene Methode der Isolation von Rechenzentren fortsetzen müssen oder ausschließlich Extranetressourcen in Azure integrieren.
Führen Sie die Beendigung innerhalb der Firewall aus (Netzwerkerweiterungsparadigma). Dies ist die Standardempfehlung. In allen anderen Fällen wird empfohlen, Azure als weiteres Rechenzentrum zu behandeln.
Optimieren der Betriebszeit und Leistung
Wenn ein Dienst ausgefallen ist, kann nicht auf Informationen zugegriffen werden. Wenn die Leistung so schlecht ist, dass die Daten nicht genutzt werden können, werden die Daten als nicht verfügbar angesehen. Aus Gründen der Sicherheit müssen Sie alles unternehmen, um sicherzustellen, dass für Ihre Dienste eine optimale Betriebszeit und Leistung gewährleistet ist.
Eine beliebte und effektive Methode zum Verbessern der Verfügbarkeit und Leistung ist der Lastenausgleich. Der Lastenausgleich ist ein Verfahren zum Verteilen von Netzwerkdatenverkehr auf Server, die Teil eines Diensts sind. Wenn Sie im Rahmen Ihres Diensts beispielsweise Front-End-Webserver verwenden, können Sie den Lastenausgleich nutzen, um Datenverkehr auf die verschiedenen Front-End-Webserver zu verteilen.
Die Verteilung von Datenverkehr erhöht die Verfügbarkeit, weil Folgendes passiert, wenn einer der Webserver nicht mehr verfügbar ist: Das Lastenausgleichsmodul beendet das Senden von Datenverkehr an den Server und leitet ihn an die Server um, die noch online sind. Außerdem trägt der Lastenausgleich zur Steigerung der Leistung bei, da der Mehraufwand für den Prozessor, das Netzwerk und den Arbeitsspeicher zum Verarbeiten von Anforderungen auf alle Server mit Lastenausgleich verteilt wird.
Wir empfehlen Ihnen, den Lastenausgleich nach Möglichkeit immer zu nutzen, wenn diese Vorgehensweise für Ihre Dienste geeignet ist. Es folgen Szenarien sowohl auf der Ebene des Azure Virtual Network als auch auf der globalen Ebene, zusammen mit den jeweiligen Lastausgleichsoptionen.
Szenario: Sie haben eine Anwendung:
Bei denen Anforderungen einer Benutzer-/Clientsitzung den gleichen virtuellen Back-End-Computer erreichen müssen. Beispiele hierfür wären Einkaufswagen-Apps und Web-E-Mail-Server.
Dabei ist nur eine sichere Verbindung zulässig. Unverschlüsselte Kommunikation mit den Servern sind keine akzeptable Option.
Für die mehrere HTTP-Anforderungen über die gleiche lange bestehende TCP-Verbindung an verschiedene Back-End-Server weitergeleitet werden bzw. für die dort ein Lastenausgleich erfolgen muss.
Option für den Lastenausgleich: Verwenden Sie Azure Application Gateway, einen Lastenausgleich für HTTP-Web-Datenverkehr. Application Gateway unterstützt die End-to-End-TLS-Verschlüsselung und TLS-Terminierung am Gateway. Webserver können dann von Ver- und Entschlüsselungs-Overheads und unverschlüsseltem Datenverkehr zu den Back-End-Servern entlastet werden.
Szenario: Sie benötigen für eingehende Verbindungen aus dem Internet einen Lastenausgleich zwischen Ihren Servern in einem virtuellen Azure-Netzwerk. Szenarien sind, wenn Sie:
Zustandslose Anwendungen haben, die eingehende Anforderungen aus dem Internet akzeptieren.
Keine persistenten Sitzungen oder TLS-Auslagerung benötigen. Persistente Sitzungen sind eine Methode, die für den Anwendungslastenausgleich verwendet wird, um die Serveraffinität zu erreichen.
Option für den Lastenausgleich: Verwenden Sie das Azure-Portal, um einen externen Lastenausgleich zu erstellen, der eingehende Anfragen auf mehrere VMs verteilt, um eine höhere Verfügbarkeit zu gewährleisten.
Szenario: Sie benötigen einen Lastenausgleich für Verbindungen von VMs, die sich nicht im Internet befinden. In den meisten Fällen werden die Verbindungen, die für den Lastenausgleich akzeptiert werden, von Geräten in einem Azure Virtual Network initiiert, wie z.B. SQL Server-Instanzen oder interne Webserver.
Option für den Lastenausgleich: Verwenden Sie das Azure-Portal, um einen internen Lastenausgleich zu erstellen, der eingehende Anfragen auf mehrere VMs verteilt, um eine höhere Verfügbarkeit zu gewährleisten.
Szenario: Sie benötigen globalen Lastenausgleich, da Sie:
Eine Cloudlösung haben, die weit über mehrere Regionen verteilt ist und ein Höchstmaß an Betriebszeit (Verfügbarkeit) erfordert.
Ein Höchstmaß an Betriebszeit benötigen, um sicherzustellen, dass Ihr Dienst verfügbar ist, auch wenn ein ganzes Rechenzentrum nicht verfügbar ist.
Option für den Lastenausgleich: Verwenden Sie Azure Traffic Manager. Traffic Manager ermöglicht Ihnen den Lastenausgleich für Verbindungen mit Ihren Diensten basierend auf dem Standort des Benutzers.
Wenn ein Benutzer Ihren Dienst beispielsweise von einem EU-Standort aus anfordert, wird die Verbindung an Ihre Dienste umgeleitet, die in einem EU-Rechenzentrum angeordnet sind. Mit diesem Teil des globalen Lastenausgleichs von Traffic Manager können Sie die Leistung verbessern, da die Herstellung der Verbindung mit dem nächsten Rechenzentrum schneller als die Verbindung mit weit entfernten Rechenzentren möglich ist.
Deaktivieren des RDP/SSH-Zugriffs auf virtuelle Computer
Es ist möglich, mit dem Remotedesktopprotokoll (RDP) und dem Secure Shell-Protokoll (SSH) eine Verbindung mit virtuellen Azure-Computern herzustellen. Diese Protokolle ermöglichen die Remoteverwaltung von VMs und sind Standard im Rechenzentrum.
Das potenzielle Sicherheitsproblem bei der Verwendung dieser Protokolle über das Internet besteht darin, dass Angreifer Brute-Force-Verfahren einsetzen können, um Zugriff auf virtuelle Azure-Computer zu erlangen. Nachdem sich die Angreifer Zugang verschafft haben, können sie Ihre VM als Ausgangspunkt für die Kompromittierung anderer Computer im virtuellen Netzwerk nutzen oder sogar Netzwerkgeräte außerhalb von Azure angreifen.
Wir empfehlen Ihnen, den direkten RDP- und SSH-Zugriff auf Ihre virtuellen Azure-Computer über das Internet zu deaktivieren. Nachdem der direkte RDP- und SSH-Zugriff über das Internet deaktiviert wurde, haben Sie andere Möglichkeiten, um für die Durchführung der Remoteverwaltung auf diese VMs zuzugreifen.
Szenario: Ein Benutzer kann eine Verbindung mit einem Azure Virtual Network über das Internet herstellen.
Option: Point-to-Site-VPN-Verbindung ist ein anderer Ausdruck für eine VPN-Client/Server-Verbindung mit Remotezugriff. Nachdem die Point-to-Site-Verbindung hergestellt wurde, kann der Benutzer per RDP oder SSH eine Verbindung mit allen VMs im Azure Virtual Network herstellen, mit denen der Benutzer per Point-to-Site-VPN-Verbindung verbunden ist. Hierbei wird davon ausgegangen, dass der Benutzer dazu berechtigt ist, auf diese VMs zuzugreifen.
Eine Point-to-Site-VPN-Verbindung ist sicherer als direkte RDP- oder SSH-Verbindungen, da sich der Benutzer zweimal authentifizieren muss, bevor er die Verbindung mit einer VM herstellen kann. Zunächst muss sich der Benutzer authentifizieren (und berechtigt sein), um die Point-to-Site-VPN-Verbindung herzustellen. Danach muss sich der Benutzer authentifizieren (und berechtigt sein), um die RDP- oder SSH-Sitzung zu erstellen.
Szenario: Ermöglichen Sie es Benutzern in Ihrem lokalen Netzwerk, sich mit VMs in Ihrem Azure Virtual Network zu verbinden.
Option: Über eine Site-to-Site-VPN-Verbindung wird ein gesamtes Netzwerk über das Internet mit einem anderen Netzwerk verbunden. Sie können eine Site-to-Site-VPN-Verbindung verwenden, um Ihr lokales Netzwerk mit einem Azure Virtual Network zu verbinden. Benutzer in Ihrem lokalen Netzwerk verbinden sich über das RDP- oder SSH-Protokoll über die Site-to-Site-VPN-Verbindung. Sie müssen keinen direkten RDP- oder SSH-Zugriff über das Internet ermöglichen.
Szenario: Verwenden Sie eine dedizierte WAN-Verbindung, um Funktionalität bereitzustellen, die der Site-to-Site-VPN-Verbindung ähnelt.
Option: Verwenden Sie ExpressRoute. Es bietet ähnliche Funktionen wie eine Site-to-Site-VPN-Verbindung. Im Folgenden werden die Hauptunterschiede erläutert:
Die dedizierte WAN-Verbindung verläuft nicht über das Internet.
Dedizierte WAN-Verbindungen sind in der Regel stabiler und leistungsfähiger.
Beschränken und Schützen Ihrer kritischen Ressourcen von Azure-Diensten auf Ihre virtuellen Netzwerke
Verwenden Sie Azure Private Link für den Zugriff auf Azure-PaaS-Dienste (beispielsweise Azure Storage und SQL-Datenbank) über einen privaten Endpunkt in Ihrem virtuellen Netzwerk. Private Endpunkte ermöglichen es Ihnen, Ihre kritischen Azure-Dienstressourcen auf Ihre virtuellen Netzwerke zu beschränken und so zu schützen. Der Datenverkehr aus Ihrem virtuellen Netzwerk an den Azure-Dienst verbleibt immer im Backbone-Netzwerk von Microsoft Azure. Ein Verfügbarmachen Ihres virtuellen Netzwerks im öffentlichen Internet ist nicht mehr erforderlich, um Azure-PaaS-Dienste zu nutzen.
Azure Private Link bietet folgende Vorteile:
Verbesserte Sicherheit für Ihre Azure-Dienstressourcen : Mit Azure Private Link können Azure-Dienstressourcen durch Nutzung eines privaten Endpunkts auf Ihr virtuelles Netzwerk beschränkt und so geschützt werden. Das Beschränken von Dienstressourcen auf einen privaten Endpunkt in einem virtuellen Netzwerk erhöht die Sicherheit, da der Zugriff über das öffentliche Internet auf Ressourcen vollständig verhindert und nur Datenverkehr vom privaten Endpunkt in Ihrem virtuellen Netzwerk zugelassen wird.
: Mit Azure Private Link können Azure-Dienstressourcen durch Nutzung eines privaten Endpunkts auf Ihr virtuelles Netzwerk beschränkt und so geschützt werden. Das Beschränken von Dienstressourcen auf einen privaten Endpunkt in einem virtuellen Netzwerk erhöht die Sicherheit, da der Zugriff über das öffentliche Internet auf Ressourcen vollständig verhindert und nur Datenverkehr vom privaten Endpunkt in Ihrem virtuellen Netzwerk zugelassen wird. Privater Zugriff auf Azure-Dienstressourcen auf der Azure-Plattform : Verbinden Sie Ihr virtuelles Netzwerk über private Endpunkte mit Diensten in Azure. Eine öffentliche IP-Adresse ist nicht erforderlich. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk.
: Verbinden Sie Ihr virtuelles Netzwerk über private Endpunkte mit Diensten in Azure. Eine öffentliche IP-Adresse ist nicht erforderlich. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Zugriff von lokalen Netzwerken und Peernetzwerken : Greifen Sie mithilfe privater Endpunkte von einer lokalen Umgebung über privates ExpressRoute-Peering, VPN-Tunnel und virtuelle Netzwerke mit Peering auf Dienste zu, die in Azure ausgeführt werden. Es ist nicht erforderlich, ExpressRoute-Microsoft-Peering einzurichten oder über das Internet auf den Dienst zuzugreifen. Private Link ist eine sichere Möglichkeit, um Workloads zu Azure zu migrieren.
: Greifen Sie mithilfe privater Endpunkte von einer lokalen Umgebung über privates ExpressRoute-Peering, VPN-Tunnel und virtuelle Netzwerke mit Peering auf Dienste zu, die in Azure ausgeführt werden. Es ist nicht erforderlich, ExpressRoute-Microsoft-Peering einzurichten oder über das Internet auf den Dienst zuzugreifen. Private Link ist eine sichere Möglichkeit, um Workloads zu Azure zu migrieren. Schutz vor Datenlecks : Ein privater Endpunkt wird nicht dem gesamten Dienst, sondern der Instanz einer PaaS-Ressource zugeordnet. Consumer können nur eine Verbindung mit der entsprechenden Ressource herstellen. Der Zugriff auf alle anderen Ressourcen des Diensts ist blockiert. Dieser Mechanismus ermöglicht den Schutz vor Risiken aufgrund von Datenlecks.
: Ein privater Endpunkt wird nicht dem gesamten Dienst, sondern der Instanz einer PaaS-Ressource zugeordnet. Consumer können nur eine Verbindung mit der entsprechenden Ressource herstellen. Der Zugriff auf alle anderen Ressourcen des Diensts ist blockiert. Dieser Mechanismus ermöglicht den Schutz vor Risiken aufgrund von Datenlecks. Globale Reichweite : Stellen Sie private Verbindungen zu Diensten her, die in anderen Regionen ausgeführt werden. Das virtuelle Netzwerk des Consumers kann sich beispielsweise in Region A befinden und eine Verbindung mit Diensten in Region B herstellen.
: Stellen Sie private Verbindungen zu Diensten her, die in anderen Regionen ausgeführt werden. Das virtuelle Netzwerk des Consumers kann sich beispielsweise in Region A befinden und eine Verbindung mit Diensten in Region B herstellen. Problemlose Einrichtung und Verwaltung: Sie benötigen in Ihren virtuellen Netzwerken keine reservierten öffentlichen IP-Adressen mehr, um Azure-Ressourcen über eine IP-Firewall zu schützen. Es sind keine NAT- oder Gatewaygeräte erforderlich, um die privaten Endpunkte einzurichten. Private Endpunkte werden über einen einfachen Workflow konfiguriert. Auf Dienstseite können Sie auch die Verbindungsanforderungen für Ihre Azure-Dienstressource problemlos verwalten. Azure Private Link funktioniert auch für Consumer und Dienste, die zu unterschiedlichen Azure Active Directory-Mandanten gehören.
Weitere Informationen zu privaten Endpunkten und den Azure-Diensten und Regionen, für die private Endpunkte verfügbar sind, finden Sie unter Azure Private Link.
Nächste Schritte
Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.
Tagged: