Erste Schritte mit dem Design der Sicherheitsarchitektur

Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. Effektive Sicherheitsmaßnahmen schützen die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten und Systeme vor absichtlichen Angriffen und Missbrauch.

Azure bietet viele Sicherheitstools und -funktionen, einschließlich der folgenden wichtigen Dienste:

• Microsoft Defender for Cloud bietet Cloud Security Posture Management (CSPM) und Cloud Workload Protection (CWP). Es bewertet Ihre Ressourcen hinsichtlich der Sicherheitseinhaltung, bietet eine Sicherheitsbewertung, um Ihre Position zu überwachen, und bietet Bedrohungsschutz über Azure, lokale und Multi-Cloud-Workloads hinweg.

• Microsoft Entra ID ist der Microsoft cloudbasierten Identitäts- und Zugriffsverwaltungsdienst (IAM). Sie stellt einmaliges Anmelden (Single Sign-On, SSO), mehrstufige Authentifizierung (MFA) und bedingten Zugriff bereit, um identitätsbasierte Angriffe zu schützen.

• Azure Front Door ist ein globaler Einstiegspunkt für Webanwendungen. Es bietet eine integrierte Webanwendungsfirewall (WAF), um vor den häufigsten Exploits und Sicherheitslücken zu schützen, DDoS-Schutz sowie die Beendigung der Transport Layer Security (TLS) am Rand des Netzwerks.

• Azure Firewall ist eine cloudeigene Netzwerkfirewall, die bedrohungsbasierte Filterung, Angriffserkennung und -prävention (IDPS) auf der Premium-Ebene, TLS-Inspektion und vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN)-basierten Regeln unterstützt.

• Azure Key Vault bietet zentrale Schlüsselverwaltung, Schlüsselverwaltung und Zertifikatverwaltung. Die Premium-Ebene bietet Schlüssel, die durch Hardwaresicherheitsmodule (HSM) geschützt und nach den Federal Information Processing Standards (FIPS) 140-3 Ebene 3 validiert sind.

• mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure Plattform as a Service (PaaS)-Lösungen zugreifen. Durch diesen Ansatz bleibt der Datenverkehr im Microsoft Backbone-Netzwerk und die Gefährdung durch das öffentliche Internet wird beseitigt.

• Azure Application Gateway ist ein regionaler Lastenausgleich für Webdatenverkehr, der einen WAF enthält, der vor den OWASP-Top-10-Sicherheitsrisiken (Open Worldwide Application Security Project, Bot-Entschärfung und benutzerdefinierte Regeln) schützt.

• Azure Policy ermöglicht es Ihnen, Organisationsstandards zu erzwingen, die Einhaltung in großem Maßstab zu bewerten und Schutzmaßnahmen anzuwenden, die nicht konforme Ressourcenkonfigurationen verhindern.

Weitere Informationen zu Azure Sicherheitstools und -funktionen finden Sie unter End-to-End-Sicherheit in Azure.

Architektur

Laden Sie eine Visio-Datei dieser Architektur herunter.

Das vorherige Diagramm zeigt eine typische Grundlegende Sicherheitsimplementierung. Die Architektur zeigt, wie Azure Sicherheitsdienste zusammenarbeiten, um Workloads über Identitäts-, Netzwerk-, Daten- und Anwendungsebenen hinweg zu schützen. Praktische Lösungen, die Sie in Azure erstellen können, finden Sie unter Example-Lösungen.

Informationen zur Sicherheit auf Azure

Microsoft Learn bietet kostenlose Onlineschulungen für Azure Sicherheitstechnologien. Die Plattform bietet Videos, Lernprogramme und interaktive Labore für bestimmte Produkte und Dienstleistungen sowie Lernpfade, die nach Jobrolle organisiert sind.

Die folgenden Ressourcen bieten grundlegende Kenntnisse für Sicherheitsimplementierungen auf Azure.

Security fundamentals: Die folgenden Lernpfade umfassen kerne Sicherheitskonzepte und Azure Sicherheitsfeatures:

• Einführung in Sicherheits-, Compliance- und Identitätskonzepte
• Introduktion zum Microsoft Entra
• Introduction to Microsoft Security Solutions

Netzwerksicherheit: Der folgende Lernpfad umfasst die Sicherheit des virtuellen Netzwerks, die Netzwerksegmentierung und die sichere Konnektivität:

• Konfigurieren Sie sicheren Zugriff auf Ihre Workloads mithilfe des virtuellen Netzwerkings von Azure

Datenschutz: Der folgende Lernpfad umfasst Verschlüsselung, Schlüsselverwaltung und Anwendungssicherheit:

• Secure your cloud applications in Azure

Bedrohungsschutz: Der folgende Lernpfad umfasst Bedrohungserkennung, Untersuchung und Reaktion:

• Mitigieren Sie Bedrohungen mithilfe von Microsoft Defender for Cloud

Lernpfade nach Rolle

Microsoft Learn bietet rollenbasierte Zertifizierungspfade für Sicherheitsexperten:

• Microsoft Certified: Azure Security Engineer Associate (AZ-500)

  Note

  Die AZ-500-Zertifizierung wird am 31. August 2026 eingestellt. Überprüfen Sie die Zertifizierungsseite auf die neuesten Informationen.

• Microsoft Zertifiziert: Security Operations Analyst Associate (SC-200)

• Microsoft zertifiziert: Cybersecurity Architect Expert (SC-100)

Organisationsbereitschaft

Organisationen, die ihre Cloudakzeptanz starten, können das Cloud Adoption Framework für Azure verwenden, um auf bewährte Richtlinien zuzugreifen, die die Cloudakzeptanz beschleunigen. Die Cloud Adoption Framework Secure-Methodik bietet einen strukturierten Ansatz zum Sichern Ihrer Azure Cloud-Estate. Es bietet Sicherheitsleitfaden für Strategie, Planung, Bereitschaft, Einführung, Governance und Betrieb.

Azure Governance legt die Tools fest, die zur Unterstützung von Cloudgovernance, Complianceüberwachung und automatisierten Schutzmaßnahmen erforderlich sind. Weitere Informationen finden Sie unter Azure Governance design area guidance.

Um die Qualität Ihrer Sicherheitslösung auf Azure sicherzustellen, befolgen Sie das Azure Well-Architected Framework. Das Well-Architected Framework bietet präskriptive Anleitungen für Organisationen, die architektonische Exzellenz anstreben, und beschreibt, wie Sie kostenoptimierte Azure Lösungen entwerfen, bereitstellen und überwachen können. Weitere Informationen finden Sie in der Well-Architected Framework Security-Säule.

Sicherheitsspezifische Anleitungen finden Sie in den folgenden Well-Architected Framework-Diensthandbüchern:

• Azure Firewall
• Azure Application Gateway
• Azure Front Door

Bewährte Vorgehensweisen

Befolgen Sie die folgenden bewährten Methoden, um die Sicherheit, Zuverlässigkeit, Leistung und betriebliche Qualität Ihrer Sicherheitsworkloads für Azure zu verbessern:

• Security design principles: Leitprinzipien, mit denen Sie sichere Workloads auf Azure basierend auf dem Zero Trust-Modell und der CIA-Triad der Vertraulichkeit, Integrität und Verfügbarkeit entwerfen können.

• Sicherheitsschnelllinks: Eine Hubseite für die Well-Architected Framework Security-Säule, die Links zu Sicherheitsleitlinien, Entwurfsmustern und bewährten Methoden bereitstellt.

• Prüfliste zur Entwurfsüberprüfung für Sicherheit: Eine Prüfliste mit Empfehlungen für die Überprüfung des Sicherheitsdesigns, die Identität, Netzwerk, Datenschutz und Governance umfasst.

• Azure Firewall und Azure Application Gateway für virtuelle Netzwerke: Anleitungen zum Schutz Azure Anwendungsworkloads mithilfe von Authentifizierungs-, Verschlüsselungs- und Netzwerksicherheitsebenen mit Azure Firewall und Azure Application Gateway.

• Implementieren Sie ein Zero Trust Netzwerk für Webanwendungen mithilfe von Azure Firewall und Azure Application Gateway: Ein proaktiver, integrierter Ansatz für die Sicherheit auf allen Ebenen mithilfe von Zero Trust Prinzipien und End-to-End-TLS-Verschlüsselung und -Inspektion.

• Microsoft Cloud Security Benchmark: Präskriptive bewährte Methoden und Empfehlungen zur Verbesserung der Sicherheit von Workloads, Daten und Diensten in Azure- und Multicloudumgebungen.

Bleiben Sie bei der Sicherheit auf dem Laufenden

Azure Sicherheitsdienste entwickeln sich zur Bewältigung moderner Sicherheitsprobleme. Informieren Sie sich über die neuesten Updates und Features.

Wenn Sie mit wichtigen Sicherheitsdiensten auf dem laufenden bleiben möchten, lesen Sie die folgenden Artikel:

• Neuerungen in Microsoft Defender für Cloud
• Microsoft Entra Versionen und Ankündigungen
• Was ist neu bei Azure Key Vault
• Neuerungen in Microsoft Sentinel
• Was ist neu bei der Azure Firewall
• Was ist neu in Azure Application Gateway

Andere Ressourcen

Die Sicherheitskategorie deckt eine Reihe von Lösungen ab. Die folgenden Ressourcen können Ihnen helfen, mehr über Azure zu erfahren.

Beispiellösungen

Die folgenden Architekturlösungen veranschaulichen Sicherheitsmuster und Implementierungen für Azure:

• Verbesserter Sicherheitszugang zu Azure App Service-Web-Apps aus einem lokalen Netzwerk
• Sicher verwaltete Webanwendungen
• Baseline für hochverfügbare zonenredundante Webanwendungen
• Durchsuchen aller Sicherheitsarchitekturen

Produktdokumentation

• End-to-End-Sicherheit in Azure: Eine Einführung in die Sicherheitsdienste in Azure, organisiert nach Schutz-, Erkennungs- und Reaktionsfunktionen.

• Microsoft Cybersicherheitsreferenzarchitekturen: Diagramme, die beschreiben, wie Microsoft Sicherheitsfunktionen mithilfe Zero Trust Prinzipien in Microsoft Plattformen und Partnerplattformen integriert werden.

Hybrid und Multicloud

Die meisten Organisationen benötigen einen hybriden Sicherheitsansatz, da ihre Workloads, Identitäten und Daten lokale Rechenzentren, Azure und andere Cloudplattformen umfassen. Sicherheitsrichtlinien, Bedrohungserkennung und Compliance-Kontrollen müssen sich über alle diese Umgebungen erstrecken, um Lücken zu vermeiden, die Angreifer ausnutzen können. Organisationen erweitern typischerweise ihre lokalen Sicherheitslösungen in die Cloud und verwenden Azure Arc, um nicht-Azure-Ressourcen in die Azure-Kontrollebene zu projizieren und eine zentrale Verwaltung zu ermöglichen. Um Umgebungen zu verbinden, müssen Organisationen eine hybride Netzwerkarchitektur auswählen.

Überprüfen Sie die folgenden wichtigen Hybrid- und Multicloud-Sicherheitsszenarien:

• Implementieren Eines sicheren Hybridnetzwerks: Eine Referenzarchitektur, die ein lokales Netzwerk auf Azure erweitert. Es verwendet ein Umkreisnetzwerk (auch bekannt als DMZ, demilitarisierte Zone und bildschirmierte Subnetz) und Azure Firewall, um eingehenden und ausgehenden Datenverkehr zwischen lokalen und Azure Umgebungen zu steuern.

• Verbinden Sie ein lokales Netzwerk mit Azure: Ein Vergleich der Hybridnetzwerkkonnektivitätsoptionen, einschließlich Azure VPN Gateway, Azure ExpressRoute und Azure ExpressRoute mit VPN-Failover, die die sichere Netzwerkgrundform für Hybridbereitstellungen einrichten.

• Hybrid-Architekturentwurf: Eine Hubseite für Hybridarchitekturen auf Azure, die hybride Netzwerkkonnektivität, bewährte Methoden und Referenzarchitekturen umfasst, um Workloads lokal und Azure Umgebungen auszuführen.

• Designen Sie eine Hybrid-DNS-Lösung mithilfe von Azure: Eine Referenzarchitektur, die eine Hybrid-DNS-Lösung für das Domain Name System (DNS) implementiert, die Namen für Workloads auflöst, die sowohl lokal als auch in Azure gehostet werden. Diese Architektur verwendet Azure DNS Private Resolver und Azure Firewall.

• Implementierung der Hybrid- und Multicloud-Akzeptanz mithilfe von Azure Arc und Azure Landing Zones: Anleitung zum Onboarding lokaler Server, Kubernetes-Cluster und Multiclouddienste in die Azure-Steuerebene, mithilfe von Azure Arc. Diese Architektur verwendet Microsoft Defender for Cloud, um die zentralisierte Durchsetzung von Richtlinien, Überwachung und Bedrohungsschutz zu ermöglichen.

• de-DE: Integrieren von Azure und Microsoft Defender XDR-Sicherheitsdiensten: Ein Lösungskonzept, das Microsoft Sentinel, Microsoft Defender for Cloud und Microsoft Defender XDR zur Vereinheitlichung der Sicherheitsüberwachung und Bedrohungsreaktion in lokalen sowie Cloud-Umgebungen integriert.

Identitäts- und Zugriffsverwaltung

Identität ist der primäre Sicherheitsperimeter in Cloudumgebungen. In Azure konzentriert SICH IAM auf Microsoft Entra ID als cloudbasierten Identitätsanbieter. Microsoft Entra Conditional Access dient als Zero Trust Richtlinienmodul. Die folgenden Architekturen und Leitfäden befassen sich mit DEN IAM-Designmustern für Azure- und Multicloud-Umgebungen:

• Integration von lokales Active Directory-Domänen mit Microsoft Entra ID: Eine Referenzarchitektur, die lokales Active Directory in Microsoft Entra ID integriert, um cloudbasierte Identitätsauthentifizierung bereitzustellen, einschließlich Microsoft Entra Connect-Synchronisierung, Microsoft Entra-Anwendungsproxy und Microsoft Entra Conditional Access.

• Identity-Architekturdesign: Eine Hubseite für die Identitätsarchitektur in Azure, die Lernpfade, Entwurfsoptionen, Implementierungsanleitungen und grundlegende Identitätsimplementierungen umfasst.

• Erstellen Sie eine Active Directory Domain Services (AD DS)-Ressourcengesamtstruktur in Azure: Eine Referenzarchitektur, die eine separate Active Directory-Domäne in Azure erstellt, der Domänen in einer lokalen Active Directory-Gesamtstruktur vertrauen.

• Deploy AD DS in einem Azure virtuellen Netzwerk: Eine Referenzarchitektur, die eine lokales Active Directory Domäne erweitert, um Azure verteilte Authentifizierungsdienste bereitzustellen.

• Extend on-premises AD FS to Azure: Eine Referenzarchitektur, die Active Directory-Verbunddienste (AD FS)(AD FS)-Autorisierung in Azure als Teil eines sicheren Hybridnetzwerks implementiert.

Bedrohungsschutz

Der Bedrohungsschutz umfasst tools, Muster und Methoden, die Sicherheitsbedrohungen über Azure Workloads hinweg erkennen, verhindern und darauf reagieren. Azure bietet mehrschichtigen Bedrohungsschutz über Dienste wie Microsoft Defender for Cloud, Microsoft Sentinel und Microsoft Entra ID Protection. Diese Dienste verwenden Verhaltensanalysen, maschinelles Lernen und Bedrohungsintelligenz, um Bedrohungen auf Compute-, Speicher-, Netzwerk-, Identitäts- und Anwendungsebenen zu erkennen.

Die folgenden Architekturen und Leitfäden behandeln Bedrohungsschutzmuster für Azure:

• Multilayered-Schutz für den Zugriff auf Azure-VMs: Eine Lösung mit gestaffelter Verteidigung, die Microsoft Entra Privileged Identity Management (PIM), just-in-time (JIT)-VM-Zugriff in Microsoft Defender for Cloud, Azure Bastion und benutzerdefinierte Rollen für die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) kombiniert, um die Angriffsfläche für die Verwaltung von VMs zu minimieren.

• Erstellen Sie die erste Verteidigungsschicht mit Azure-Sicherheitsdiensten: Eine Lösungsidee, die Azure-Sicherheitsdienste mittels des MITRE ATT&CK-Frameworks auf Ressourcen und Bedrohungsarten abbildet. In diesem Artikel werden Azure Sicherheitsdienste nach Netzwerk-, Infrastruktur-, Anwendungs-, Daten- und Identitätsebenen organisiert.

• Zuordnen von Bedrohungen zu Ihrer IT-Umgebung: Anleitungen, mit denen Sie Ihre IT-Umgebung diagrammen und eine Bedrohungszuordnung mithilfe des MITRE ATT&CK-Frameworks erstellen können. Sie umfasst lokale, Azure und Microsoft 365 Umgebungen.

• Integration von Azure- und Microsoft Defender XDR-Sicherheitsdiensten: Eine Lösungsidee, die veranschaulicht, wie Microsoft Sentinel, Microsoft Defender for Cloud und Microsoft Defender XDR für eine einheitliche Sicherheitsüberwachung und Bedrohungsreaktion in lokalen Umgebungen und Cloud-Umgebungen integriert werden.

• Microsoft Sentinel automatisierte Antworten: Eine Lösungsidee, die Microsoft Sentinel Playbooks und Azure Logic Apps verwendet, um die Reaktion auf Bedrohungen zu automatisieren, einschließlich des Blockierens kompromittierter Benutzer und isolierende Endpunkte.

• Zero Trust Prinzipien auf VMs in Azure anwenden: Schrittweise Anleitung zum Anwenden der Zero Trust Prinzipien auf Azure VMs, einschließlich logischer Isolation, RBAC, sicheres Starten, Verschlüsselung, sicherer Zugriff mithilfe von Azure Bastion, und erweiterter Bedrohungserkennung mithilfe von Microsoft Defender für Server.

• Azure Threat Protection: Eine Übersicht über Azure Bedrohungsschutzdienste, einschließlich Microsoft Defender for Cloud, Microsoft Sentinel, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps und Azure Firewall.

Amazon Web Services (AWS) oder Google Cloud Professionals

Um Ihnen den Einstieg schnell zu erleichtern, vergleichen die folgenden Artikel Azure Sicherheitsoptionen mit anderen Clouddiensten.

Dienstvergleich

• Compare AWS and Azure Identity Management Solutions: Ein detaillierter Vergleich von AWS- und Azure Identitätsdiensten, einschließlich Kernidentität, Authentifizierung, Zugriffssteuerung, Privileged Access Management und Anwendungsidentitätsmustern.

• AWS- und Azure-Dienste im Vergleich – Sicherheit, Identität und Zugriff: Ein Vergleich der Sicherheitsdienste von AWS und Azure, einschließlich IAM, Verschlüsselung, Firewalls, Bedrohungserkennung, Sicherheitsinformations- und Ereignis-Management (SIEM) und DDoS-Schutz.

• Vergleich von Google Cloud und Azure Diensten – Sicherheit und Identität: Ein Vergleich der Sicherheitsdienste von Google Cloud und Azure. Es umfasst Authentifizierung, Verschlüsselung, Schlüsselverwaltung, Bedrohungserkennung, SIEM, Containersicherheit und Verhinderung von Datenverlust (Data Loss Prevention, DLP).

• Microsoft Entra Identitätsverwaltung und Zugriffsverwaltung für AWS: Anleitung zur Bereitstellung Microsoft Entra IAM-Lösungen für AWS, einschließlich SSO, MFA, Microsoft Entra Conditional Access und Microsoft Entra PIM für AWS-Konten.

Migrationsleitfaden

Wenn Sie von einer anderen Cloudplattform migrieren, lesen Sie die folgenden Artikel:

• Migrate Security Services von AWS: Leitfaden zum Migrieren von AWS-Sicherheitsdiensten zu Azure, einschließlich SIEM-Migration zu Microsoft Sentinel und Kundenidentitätsmigration zu Microsoft Entra External ID.

• Migrieren Sie Workloads nach Azure von anderen Cloud-Plattformen: Ein Überblick über den vollständigen Prozess der Workload-Migration von AWS und Google Cloud zu Azure, einschließlich der Planungs-, Vorbereitungs- und Ausführungsphasen.