Geekly articles weekly

Microsoft Azure-Sicherheitsinfrastrukturbuch

Dieses Buch enthält allgemeine Informationen, Entwurfsüberlegungen, Bereitstellungsszenarien, Best Practices, Ergebnisse von Technologieumfragen und Anweisungen, mit denen Sie eine umfassende Präsentation der Sicherheitsfunktionen von Azure erstellen können.

Expertenkenntnisse in Azure oder PowerShell sind nicht erforderlich. Es wird auch davon ausgegangen, dass der Leser Erfahrung mit Informationstechnologie der Enterprise-Klasse und ein ausreichendes Qualifikationsniveau hat, um in einem Rechenzentrum zu arbeiten.

Heute veröffentlichen wir einen Teil des ersten Kapitels dieses Buches. Hier können Sie die Vollversion kostenlos herunterladen.


Inhaltsverzeichnis


  • Cloud-Sicherheit - 1;
  • Identitätsschutz in Azure - 19;
  • Azure-Netzwerksicherheit - 53;
  • Daten- und Speichersicherheit - 85;
  • Schutz virtueller Maschinen vor Malware - 103;
  • Schlüsselverwaltung in Azure mit Key Vault - 119;
  • Sicherheit im Internet der Dinge - 155;
  • Überwachung hybrider Umgebungen - 175;
  • Betrieb und Management in der Cloud - 191;

Cloud-Sicherheit


Bevor Sie sich mit dem Hauptthema dieses Buches befassen, nämlich der Microsoft Azure-Sicherheitsinfrastruktur, ist es wichtig zu verstehen, welche Sicherheitsstufe in der Cloud bereitgestellt werden kann. Um herauszufinden, warum die Azure-Cloud-Plattform wirklich zuverlässig ist, müssen Sie eine Reihe wichtiger Faktoren berücksichtigen, die sich auf die Sicherheit von Lösungen in der Cloud auswirken. Sicherheit in der Cloud ist das Ergebnis einer Zusammenarbeit zwischen Ihrem Unternehmen und Ihrem Cloud-Dienstanbieter. In diesem Kapitel werden wichtige Faktoren erläutert, die Ihnen helfen, die Einschränkungen, Verantwortlichkeiten und Funktionen der Cloud-Technologie für die spätere Verwendung als zuverlässige Plattform für Ihr Unternehmen zu verstehen.

Wichtige Faktoren, die die Cloud-Sicherheit beeinflussen


Bevor Sie mit einer umfassenden Implementierung von Cloud-Systemen beginnen, ist es wichtig, dass die verantwortlichen Mitarbeiter des Unternehmens verstehen, wie Sicherheit innerhalb des Cloud-Modells funktioniert. Dieses Verständnis muss entwickelt werden, bevor mit der Planung begonnen wird. Wenn die Teilnehmer mit den Sicherheitsfunktionen in der Cloud nicht ausreichend vertraut sind, ist der Erfolg des gesamten Cloud-Bereitstellungsprojekts möglicherweise gefährdet.

Bei der Planung der Implementierung von Cloud-Technologien ist es wichtig, die folgenden Aspekte ihrer Sicherheit zu bewerten:

  • Compliance
  • Risikomanagement
  • Identitäts- und Zugriffsverwaltung
  • Betriebssicherheit
  • Endpunktschutz
  • Datenschutz

Jeder dieser Aspekte erfordert Aufmerksamkeit. Die erforderliche Tiefe der Untersuchung einzelner Themen hängt von den Merkmalen Ihres Unternehmens ab: Beispielsweise können die Prioritäten einer medizinischen Einrichtung und eines produzierenden Unternehmens stark variieren. In den folgenden Abschnitten werden wir jeden dieser Aspekte genauer untersuchen.

Compliance


Jede Organisation hat bestimmte Anforderungen, und wenn Sie in die Cloud wechseln, ist es wichtig, diese nicht zu verletzen. Die Quelle dieser Anforderungen können interne oder externe Regeln sein - beispielsweise obligatorische Industriestandards. Cloud-Dienstanbieter müssen bereit sein, Kunden bei der Erfüllung der Anforderungen für die Bereitstellung der Cloud zu unterstützen. In vielen Fällen müssen sich Kunden auf einen Cloud-Dienstanbieter verlassen, um die Anforderungen zu erfüllen.

Um Kunden bei der Erfüllung der aktuellen Anforderungen zu unterstützen, verwendet Microsoft die folgenden drei Methoden.

  • Erstabrechnung der erforderlichen Anforderungen
    • Zuverlässige Technologie
    • Investitionen in Compliance-Prozesse
    • Zertifizierung durch Dritte
  • Unterstützung der Kunden bei der Einhaltung
    • Transparenz
    • Wahl
    • Flexibilität
  • Zusammenarbeit mit führenden Unternehmen in verschiedenen Branchen
    • Entwicklung von Standards
    • Zusammenarbeit mit Gesetzgebungs- und Regulierungsbehörden

Es wird empfohlen, eng mit Ihrem Cloud-Dienstanbieter zusammenzuarbeiten, um zu analysieren, welche Anforderungen Ihr Unternehmen erfüllen sollte und wie genau die Angebote des Cloud-Dienstanbieters diesen entsprechen. Es ist auch sehr wichtig sicherzustellen, dass der Cloud-Dienstanbieter bereits Erfahrung mit der Implementierung der sichersten und zuverlässigsten Cloud-Dienste hat, die höchste Vertraulichkeit und Schutz der Kundendaten bieten.
Lesen Sie mehr: Weitere Informationen darüber, wie Microsoft Kunden bei der Erfüllung von Compliance-Anforderungen unterstützt, finden Sie in diesem Artikel .

Risikomanagement


Für die erfolgreiche Implementierung von Cloud-Systemen ist es sehr wichtig, dass der Kunde dem Sicherheitssystem der Lieferanteninfrastruktur vertrauen kann. Der Cloud-Dienstanbieter muss Richtlinien und Programme für das Internet-Sicherheitsrisikomanagement implementieren und strikt durchsetzen. Beim Risikomanagement in einer Cloud-Umgebung ist es wichtig, die Dynamik zu berücksichtigen.

Microsoft bietet Kunden seit vielen Jahren erfolgreich Onlinedienste an. In dieser Zeit wurden hocheffiziente Prozesse entwickelt, mit denen Sie diese neuen Risiken kontrollieren können. Im Rahmen des Risikomanagements muss ein Cloud-Dienstanbieter die folgenden Aufgaben ausführen:

  • Identifizieren Sie Umweltanfälligkeiten und -bedrohungen.
  • Quantitative Risikoanalyse.
  • Veröffentlichen Sie Daten zu Risiken in der Cloud.
  • Risikomanagement basierend auf der Analyse möglicher Konsequenzen und ihrer Auswirkungen auf das Geschäft.
  • Überprüfung der Wirksamkeit möglicher Gegenmaßnahmen und Analyse der Restrisiken.
  • Kontinuierliches Risikomanagement.

Es ist sehr wichtig, dass Kunden aktiv mit Cloud-Service-Providern zusammenarbeiten und von ihnen verlangen, dass sie maximale Transparenz der Prozesse gewährleisten. In diesem Fall können Kunden die Maßnahmen analysieren, die ergriffen wurden, um Risiken entgegenzuwirken, und bewerten, wie sie dem Grad der Vertraulichkeit der Daten und dem für ihre Organisation erforderlichen Schutzgrad entsprechen.

Identitäts- und Zugriffsverwaltung


In der heutigen Welt haben Benutzer häufig die Möglichkeit, mit einer Vielzahl von Geräten überall auf der Welt zu arbeiten und gleichzeitig auf eine Vielzahl von Cloud-Diensten zuzugreifen. Unter solchen Umständen wird die Sicherheit von Benutzeridentitäten besonders wichtig. Bei der Verwendung von Cloud-basierten Systemen werden genau Identitäten zur Grenze zwischen „eigenen“ und „anderen“. Identitäten sind die Kontrollebene für Ihre gesamte Infrastruktur, egal ob lokal oder in der Cloud. Identitäten werden verwendet, um den Zugriff auf Dienste von beliebigen Geräten aus zu steuern und die Funktionen der Datennutzung zu verfolgen und zu analysieren.

Um Cloud-Technologien in Organisationen zu implementieren, müssen Sie sich mit den verfügbaren Funktionen zum Verwalten von Identitäten und Zugriff vertraut machen und wissen, wie Sie mit diesen Methoden mit Ihrer vorhandenen lokalen Infrastruktur interagieren können. Bei der Planung der Identitäts- und Zugriffsverwaltung sind folgende Faktoren zu berücksichtigen:

  • Identitätsvorbereitung
    • Die Anforderungen an die Identitätsvorbereitung hängen vom verwendeten Cloud-Computing-Modell ab: Software als Service (SaaS), Plattform als Service (PaaS) oder Infrastruktur als Service (IaaS).
    • Bewerten Sie die Möglichkeiten zur sicheren Automatisierung der Identitätsvorbereitung mithilfe Ihrer vorhandenen lokalen Infrastruktur.
  • Föderation
    • Analysieren Sie die verfügbaren Methoden und die Möglichkeiten zur Integration dieser Methoden in Ihre vorhandene lokale Infrastruktur.
  • Single Sign-On (SSO)
    • Überprüfen Sie die SSO-Anforderungen Ihres Unternehmens und die Möglichkeit, SSO in Ihre Anwendungen zu integrieren.
  • Profilverwaltung
    • Überprüfen Sie die verfügbaren Lösungsoptionen Ihres Cloud-Dienstanbieters und deren Eignung für Ihr Unternehmen.
  • Zugangskontrolle
    • Bewerten Sie die Funktionen zur Datenzugriffskontrolle, die Ihr Cloud-Dienstanbieter anbietet.
    • Implementieren Sie eine rollenbasierte Zugriffssteuerung (RBAC).

Betriebssicherheit


Für Unternehmen, die auf Cloud-Technologie umsteigen, ist es wichtig, die internen Prozesse entsprechend anzupassen, einschließlich Sicherheitsüberwachung, Prüfung, Reaktion auf Vorfälle und forensische Untersuchungen. Die Cloud-basierte Plattform sollte es IT-Administratoren ermöglichen, den Status von Diensten in Echtzeit zu überwachen, um deren Zustand zu überwachen und sich schnell von einem Fehler zu erholen.

Sie müssen sicherstellen, dass alle bereitgestellten Services gemäß einer Service Level Agreement (SLA) zwischen dem Cloud-Service-Provider und der Client-Organisation überwacht und gewartet werden. Weitere Faktoren, die die Cloud-Sicherheit beeinflussen, sind unten aufgeführt.

  • Schulung der Mitarbeiter der Organisation während des Prozesses.
  • Implementieren Sie Industriestandards und -praktiken für den Betrieb, z. B. NIST SP 800-531.
  • Verwalten Sie Sicherheitsinformationen gemäß Industriestandards wie NIST SP 800-612.
  • Verwenden Sie die vom Cloud-Dienstanbieter bereitgestellten Bedrohungsanalysen.
  • Kontinuierliche Aktualisierung der Kontrollen und des Risikomanagements zur Erhöhung der Betriebssicherheit.

Endpunktschutz


Die Sicherheit der Infrastruktur von Cloud-Service-Providern ist nicht der einzige Faktor, der die Cloud-Sicherheit bestimmt. Später in diesem Kapitel werden wir das Konzept der verteilten Verantwortung betrachten. Einer seiner Aspekte ist, dass bei der Implementierung von Cloud-Technologien eine Organisation Endpunktsicherheit bereitstellen muss. Bei der Einführung von Cloud-Systemen im Unternehmen wird empfohlen, die Sicherheit von Endpunkten zu erhöhen, da diese nach einem solchen Übergang häufiger externe Verbindungen öffnen und auf mehr Anwendungen zugreifen, die von anderen Cloud-Dienstanbietern gehostet werden können.

Das Hauptziel von Angriffen sind Benutzer. Durch die Verwendung von Endpunkten erhalten Benutzer normalerweise Informationen. Der Arbeitscomputer eines Benutzers, sein Smartphone und jedes andere Gerät, mit dem Sie auf Cloud-Ressourcen zugreifen können, sind Endpunkte. Angreifer wissen, dass Benutzer das schwächste Glied in der Sicherheitskette sind, und sie verbessern ständig die Social-Engineering-Methoden (z. B. Phishing-E-Mails), deren Aufgabe es ist, den Benutzer zu zwingen, eine Aktion auszuführen, die den Endpunkt gefährdet. Wenn Sie die Endpunktsicherheit als Teil einer allgemeinen Cloud-Sicherheitsstrategie entwerfen, empfehlen wir Ihnen, diese Richtlinien zu befolgen.

  • Halten Sie Ihre Endpunktsoftware auf dem neuesten Stand.
  • Aktivieren Sie automatische Signaturaktualisierungen auf Endpunkten.
  • Überwachen Sie den Zugriff auf Softwareupdatequellen.
  • Stellen Sie sicher, dass Endbenutzer keine lokalen Administratorrechte haben.
  • Erlauben Sie Benutzern nur die Mindestberechtigungen, die sie zum Arbeiten benötigen, und verwenden Sie die rollenbasierte Verwaltung.
  • Reagieren Sie schnell auf Benachrichtigungen von Endpunkten.

Beachten Sie. Die Sicherung des privilegierten Zugriffs ist ein entscheidender Schritt zur Sicherung Ihres Unternehmens. Wir empfehlen Ihnen, den Artikel über Workstations mit privilegiertem Zugriff (PAW) unter aka.ms/cyberpaw zu lesen und mehr über die Microsoft-Methode zum Schutz der wertvollsten Assets zu erfahren.

Datenschutz


Aus Sicherheitsgründen besteht das ultimative Ziel beim Verschieben von Daten in die Cloud darin, Daten zu schützen, wo immer sie sich befinden. Der Datenübertragungsprozess besteht aus mehreren Schritten. Der Schritt wird durch den Ort der Daten zu einem bestimmten Zeitpunkt bestimmt. Siehe das Diagramm in der Abbildung:



Das Diagramm zeigt die folgenden Schritte:

  1. Daten werden auf dem Benutzergerät gespeichert. Die Daten befinden sich am Endpunkt, bei dem es sich um ein beliebiges Gerät handeln kann. Es muss sichergestellt werden, dass Daten, die auf für geschäftliche Zwecke verwendeten Benutzergeräten (BYOD-Skripten) sowie auf Unternehmensgeräten gespeichert sind, verschlüsselt werden müssen.
  2. Daten werden vom Gerät des Benutzers in die Cloud übertragen. Daten müssen geschützt werden, wenn sie das Benutzergerät verlassen. Es stehen zahlreiche Technologien zum Schutz von Daten unabhängig vom Standort zur Verfügung, z. B. Azure Rights Management. Der Datenkanal muss verschlüsselt sein. Geeignete Technologien wie TLS sollten durchgesetzt werden.
  3. Die Daten werden im Rechenzentrum des Cloud-Dienstanbieters gespeichert. Wenn Daten auf die Server des Cloud-Dienstanbieters gelangen, muss die Speicherinfrastruktur Redundanz und Schutz bieten. Stellen Sie sicher, dass Sie genau wissen, wie der Cloud-Dienstanbieter die Datenverschlüsselung während der Speicherung implementiert, wer für die Schlüsselverwaltung verantwortlich ist und wie die Datenredundanz sichergestellt wird.
  4. Daten werden aus der Cloud in die lokale Umgebung übertragen. In diesem Fall gelten die Empfehlungen für Stufe 2: Es ist erforderlich, sowohl die Datei selbst als auch die Transportschicht zu verschlüsseln.
  5. Die Daten werden in einer lokalen Umgebung gespeichert. Das Sichern von Daten in einer lokalen Umgebung ist Aufgabe des Kunden. Eine kritische Phase der Implementierung ist die Verschlüsselung der im Rechenzentrum des Unternehmens gespeicherten Daten. Ihre Infrastruktur muss das erforderliche Maß an Verschlüsselung, Datenredundanz und Schlüsselverwaltung bieten.

Wichtige Faktoren, die die Cloud-Sicherheit beeinflussen
Mit dem Übergang zum Einsatz der Cloud-Technologie beginnen andere Prinzipien zu gelten. Cloud-Dienste unterscheiden sich von lokalen virtuellen Maschinen und Mainframes durch gemeinsame Zugriffszeiten auf verschiedene Weise, einschließlich Skalierbarkeit, Geschwindigkeit und Architektur. Daher sollte die Herangehensweise an sie unterschiedlich sein. Bei der Arbeit mit einem Cloud-Dienstanbieter (z. B. bei Verwendung von Azure) wird empfohlen, die folgenden Probleme zu berücksichtigen.

Mit einem gut konzipierten Cloud-Service können Sie Maschinen in wenigen Minuten oder Stunden in Betrieb nehmen oder nicht mehr verwenden. Viele Dienste dieses Typs können Spitzenlasten bewältigen, die mehr als zehnmal höher als normal sind und tagsüber betrieben werden. Die Softwareentwicklung ist jetzt sehr schnell und wöchentliche (und sogar tägliche) Codeänderungen sind zur Norm geworden. Daher müssen die Tests auf der Grundlage von Arbeitsdiensten durchgeführt werden, jedoch ohne Verwendung vertraulicher Arbeitsdaten. Für jedes Unternehmen, das auf den Einsatz von Cloud-Technologien umstellt, ist es wichtig, eine vertrauensvolle Beziehung zum Cloud-Dienstanbieter aufzubauen und alle verfügbaren Tools zu verwenden, um gegenseitig akzeptierte Anforderungen innerhalb dieser Beziehungen zu ermitteln und gegenseitig einzuhalten.

Ich gebe meinen Freunden manchmal das folgende Beispiel. Wenn ich in den 90er Jahren ein Dutzend Server für ein neues Projekt benötigte, konnte es 4 bis 6 Monate dauern, Pläne zu erstellen, zu bestellen, zu liefern, zu platzieren, zu verbinden, zu konfigurieren und bereitzustellen, und erst danach konnte das Team mit dem Testen der Arbeitsversion des Dienstes beginnen . Dank Azure kann ich dies heute in 30 Minuten nur mit dem Telefon erledigen.

Jim Molini
Senior Program Manager, C + E Sicherheit

Aufteilung der Verantwortung


In einem traditionellen Rechenzentrum ist das IT-Unternehmen selbst für alle Aspekte der Infrastruktur verantwortlich. So haben lokale Computerumgebungen seit dem Aufkommen moderner Client-Server-Architekturen (und noch früher im Zeitalter der Mainframes) funktioniert. Wenn das Netzwerk, die Speicher- oder Computersysteme nicht ordnungsgemäß funktionierten, musste das IT-Unternehmen die Ursache ermitteln und das Problem beheben.

Bei den Sicherheitseinheiten war die Situation ähnlich. Die Sicherheitsabteilung arbeitete mit der IT-Abteilung zusammen und bot gemeinsam Schutz für die Komponenten der IT-Infrastruktur. Die Sicherheitsabteilung des Unternehmens legte die Anforderungen fest, diskutierte sie mit der IT-Abteilung und bestimmte die Management-Tools, die die IT-Infrastruktur und die Betreiber implementieren konnten. Darüber hinaus hat die Sicherheitsabteilung Standards festgelegt und die Infrastruktur regelmäßig auf Einhaltung dieser Standards überprüft.

Für Rechenzentren außerhalb lokaler Umgebungen bleibt dies alles gültig. Mit dem Aufkommen von Computerumgebungen, die auf öffentlichen Clouds basieren, haben IT- und Sicherheitsabteilungen jedoch einen neuen Partner - einen Cloud-Dienstleister. Ein solcher Anbieter verfügt über eine eigene IT-Infrastruktur und muss sicherstellen, dass die Sicherheits- und Verwaltbarkeitsanforderungen eingehalten werden.

, , . , .

Cloud Computing


, , , . , , , , , .

, NIST


- « » . , «» . .

utility computing (« »), . , . . , , .

, NIST. . NIST — .

NIST « » , . .

, .




NIST :

  • . - . : -, , .
  • . . , , — . , . , — .
  • . , , , . , . , , . , , , . .
  • . (). , . , , . . ( .)
  • . , — , , , , ( ). , — , .


, NIST, . , . , .

:

  • (laaS). , . , , . , laaS , .
  • (PaaS). , « », . , ( , ) (, -), , . ( ) , .
  • (SaaS). « ». , . « » , . Microsoft Exchange Server ( ) Microsoft SharePoint ( ). .


NIST :

  • . , . — , . , . , — : . .
  • . - . — ( ). , , , NIST ( ). ( , — , , ).

    ? , - .
  • . . — , . — .

    , -, . - , — . — , VPN- WAN-.
  • . , . — , , .

Azure


, . Azure . Azure , Security Development Lifecycle (SDL), « ». Azure , .

Azure : , , , . 1-4 Azure.



— . , Azure. . , , Azure. , - .
. Azure (RBAC). RBAC : azure.microsoft.com/documentation/articles/role-based-access-control-configure.
, , Azure. Azure , . , , .

( , ). Azure — , . , Azure.

, , , Azure. , (, -), (ACL). , (NSG).

. Azure Active Directory 2, « Azure». 3, « Azure».

, Azure Azure. Microsoft. — , . — (SLA).


Sie können die Vollversion des Buches kostenlos herunterladen und unter dem folgenden Link lesen.

Herunterladen

Source: https://habr.com/ru/post/de423177/

More articles:


All Articles