Was ist Netzwerksicherheit? – CrowdStrike
Was ist Netzwerksicherheit?
Netzwerksicherheit umfasst alle Tools, Technologien und Prozesse, die Unternehmensnetzwerke und kritische Infrastrukturen vor nicht autorisiertem Zugriff, Cyberangriffen, Datenverlust sowie anderen Sicherheitsbedrohungen schützen.
Eine umfassende Netzwerksicherheitsstrategie setzt eine Kombination hochentwickelter Technologien und Fachpersonal wirksam ein, um eine Vielzahl an Cyberbedrohungen abzuwehren, zu erkennen, einzudämmen und zu beheben. Dazu gehört der Schutz aller Hardware-Systeme, Software-Anwendungen und Endgeräte sowie des Netzwerks selbst mit seinen verschiedenen Komponenten, einschließlich Netzwerkverkehr, Daten sowie physische oder cloudbasierte Rechenzentren.
WEITERE INFORMATIONEN Erfahren Sie mehr darüber, wie CrowdStrike vollständige Netzwerktransparenz, Erkennung und Bedrohungssuchdienste bereitstellt:Herunterladen: Falcon Network Security Monitoring
Wie funktioniert Netzwerksicherheit?
Netzwerksicherheit besteht im Grunde aus drei Elementen: Schutz, Erkennung und Reaktion.
Schutz
Schutz umfasst alle proaktiven Sicherheitsmaßnahmen, die das Unternehmen ergreift, um Cyberangriffe oder andere schädliche Aktivitäten abzuwehren. Dazu gehören beispielsweise Tools wie Virenschutz der nächsten Generation (NGAV) oder Richtlinien wie Zugriffsrechteverwaltung (Privileged Access Management, PAM).
Erkennung
Erkennung wird definiert als jede Funktion, die das Unternehmen dabei unterstützt, den Netzwerkverkehr zu analysieren, Bedrohungen zu identifizieren und diese einzudämmen.
Diese Funktion wird üblicherweise in Form einer hochentwickelten EDR-Lösung (Endpunktbasierte Detektion und Reaktion, EDR) bereitgestellt. Dabei handelt es sich um ein Tool zur Erkennung von Eindringungsversuchen, das mithilfe hochentwickelter Datenanalysen Netzwerkaktivitäten aufzeichnet und speichert sowie verdächtiges Systemverhalten identifiziert. Zudem stellen die meisten EDR-Tools den Cybersicherheitsexperten Kontextdaten und Behebungsempfehlungen bereit.
Reaktion
Bei der Reaktion geht es darum, wie schnell ein Unternehmen ein Sicherheitsereignis beheben kann. Die Tools umfassen meist ein System für verwaltete Erkennung und Reaktion (MDR) – einen Cybersicherheitsservice, der Technologie und menschliches Know-how in sich vereint und Bedrohungssuche, Überwachung sowie Reaktionsmaßnahmen umfasst.
Zu letzterem kann auch ein formeller Plan für die Zwischenfallreaktion gehören. Ein solcher Plan umfasst alle Maßnahmen, die Unternehmen zur Vorbereitung, Erkennung und Eindämmung einer Datenkompromittierung oder eines anderen Sicherheitsereignisses sowie zur anschließenden Wiederherstellung ergreifen.
Wie können Sie Ihr Netzwerk schützen?
Netzwerksicherheit ist ein Element innerhalb der übergeordneten IT-Sicherheitsstrategie von Unternehmen. Angesichts der Verbreitung von Cyberangriffen sowie der zunehmenden Raffinesse der Cyberkriminellen ist es wichtig, dass Unternehmen einen umfassenden Sicherheitsansatz wählen, der alle Aspekte der IT-Umgebung schützt.
Eine umfassende IT-Sicherheitsstrategie besteht unter anderem aus folgenden Elementen:
Cybersicherheit: Der Schutz aller digitalen Ressourcen wie Netzwerke, Systeme, Computer und Daten vor Cyberangriffen.
Endgerätesicherheit bzw. Endgeräteschutz: Hier geht es um ein Schutz eines Netzwerks aus Endgeräten (z. B. Desktops, Laptops und Mobilgeräte) vor schädlichen Aktivitäten.
Cloud-Sicherheit: Der Sammelbegriff für die Strategie und Lösungen, die die Cloud-Infrastruktur sowie alle in der Cloud-Umgebung gehosteten Services und Anwendungen schützen.
Anwendungssicherheit: Die Maßnahmen, die ergriffen werden, um die Anfälligkeit auf Anwendungsebene zu reduzieren, sodass die Daten oder der Code in den Anwendungen nicht gestohlen, exfiltriert oder kompromittiert werden können.
Container-Sicherheit: Der kontinuierliche Prozess der Abwehr von Cyberbedrohungen für Container einschließlich der Container-Pipeline, Bereitstellungsinfrastruktur und „digitalen Lieferkette“ technischen Ausgangsbasis.
IoT-Sicherheit: Dieser Teilbereich der Cybersicherheit beschäftigt sich mit dem Schutz, der Überwachung und Behebung von Bedrohungen im Zusammenhang mit dem Internet der Dinge (Internet of Things, IoT) – also dem Netzwerk verbundener Geräte, die über das Internet Daten sammeln, speichern und teilen.
Viele Unternehmen setzen für den Schutz des Netzwerks auf einzelne Tools oder Technologien. Ein ganzheitlicher Ansatz zur Netzwerksicherheit ist jedoch deutlich effektiver. Zu diesem Zweck sollten Unternehmen einen Cybersicherheitspartner wählen, der ihnen hilft, ihre Risiken zu bewerten und eine umfassende Lösung zu entwickeln, die sich in verschiedene Tools integrieren lässt und ganzheitlichen Schutz bietet.
Tools, Funktionen und Richtlinien für Netzwerksicherheit
Da kein Tool und keine Technologie allein umfassende Sicherheit bieten kann, müssen Unternehmen die Netzwerksicherheit von mehreren Seiten angehen.
Im Folgenden stellen wir einige weitverbreitete Tools, Funktionen und Richtlinien der Netzwerksicherheit vor, die integriert werden können, um eine Vielzahl an digitalen Bedrohungen abzuwehren und zudem die Maßnahmen zur Erkennung, Eindämmung und Behebung zu verbessern.
Lösungen für Netzwerksicherheit
Firewall der nächsten Generation (NGFW)
In vielen Unternehmen steht bei der Gewährleistung der Netzwerksicherheit eine Firewall der nächsten Generation (NGFW) an erster Stelle. Ähnlich wie eine klassische Firewall prüft eine NGFW den gesamten ein- und ausgehenden Datenverkehr und bildet eine Barriere zwischen den internen und externen Netzwerken. Sie setzt die Vertrauensgrundsätze, Regeln sowie andere administrative Einstellungen durch und umfasst weitere Funktionen wie Anwendungserkennung und -kontrolle, Services zur Verhinderung von Eindringungsversuchen sowie Bedrohungsanalysen.
Eine NGFW ist ein wichtiger Bestandteil des gesamten Netzwerksicherheitsplans, bietet jedoch keinen vollständigen Schutz und muss durch andere Sicherheitstools und -technologien ergänzt werden.
Außerdem sollte beachtet werden, dass klassische Firewalls inzwischen als veraltet gelten, da sie bei der Abwehr hochentwickelter Angriffe, insbesondere in der Cloud-Umgebung, weitgehend nutzlos sind. Deshalb sollten Unternehmen auf eine NGFW-Lösung upgraden.
Virenschutz der nächsten Generation (NGAV)
Virenschutz der nächsten Generation (NGAV) ist ein Netzwerksicherheitstool und basiert auf einer Kombination aus künstlicher Intelligenz, Verhaltenserkennung, Machine Learning-Algorithmen sowie Exploit-Behebung und ist darauf ausgelegt, bekannte und unbekannte Bedrohungen vorherzusehen und sofort zu verhindern. Eine NGAV ist cloudbasiert und kann deshalb schnell und effizient bereitgestellt werden. Die Lösung entlastet das IT- oder Sicherheitsteam bei der Installation und Wartung der Software, der Verwaltung der Infrastruktur und der Aktualisierung der Signaturdatenbanken.
Virtuelles privates Netzwerk (VPN)
Ein virtuelles privates Netzwerk (VPN) ist ein Sicherheitstool, das die Verbindung zwischen einem Endgerät und dem Unternehmensnetzwerk verschlüsselt, damit berechtigte Benutzer das Netzwerk per Fernzugriff sicher nutzen können. In der Regel verwenden VPNs hochentwickelte Authentifizierungsmethoden, um zu gewährleisten, dass das Gerät und die Benutzer für den Netzwerkzugriff berechtigt sind.
Web-Anwendungsfirewall (WAF)
Eine Web-Anwendungsfirewall (WAF) ist eine Sicherheitseinrichtung, die Unternehmen auf der Anwendungsebene schützen soll, indem sie HTTP- (Hypertext Transfer Protocol) und HTTPS-Verkehr (Hypertext Transfer Protocol Secure) zwischen der Web-Anwendung und dem Internet filtert, überwacht und analysiert.
Funktionen für Netzwerksicherheit
Malware-Analyse
Die Malware-Analyse ist der Prozess, mit dem das Verhalten und der Zweck einer verdächtigen Datei oder URL ergründet werden soll. Das Ergebnis der Analyse hilft bei der Erkennung und Abwehr der potenziellen Bedrohung.
Verhaltensanalyse
Bei der Verhaltensanalyse werden Netzwerkaktivitäten erfasst sowie analysiert und eine Vergleichsgrundlage geschaffen, anhand derer ungewöhnliche Aktivitäten und Kompromittierungsindikatoren identifiziert werden. Die meisten Verhaltensanalyse-Tools automatisieren die Netzwerküberwachung und Warnmeldungen. Sie entlasten das Sicherheitsteam, damit es sich auf wichtigere Aufgaben wie Behebung und Untersuchung konzentrieren kann.
Schwachstellenverwaltung
Schwachstellenverwaltung ist der fortlaufende, reguläre Prozess der Identifizierung, Beurteilung, Meldung, Verwaltung und Korrektur von Sicherheitsschwachstellen auf Endgeräten, Workloads und Systemen. In der Regel verwenden Sicherheitsteams ein Tool zur Schwachstellenverwaltung, um Schwachstellen zu erkennen, Maßnahmen zu priorisieren und Patches sowie Korrekturen zu implementieren.
Richtlinien für Netzwerksicherheit
Datenverlustprävention (DLP)
Datenverlustprävention (Data Loss Prevention, DLP) ist Teil der allgemeinen Sicherheitsstrategie von Unternehmen. Bei DLP liegt der Fokus darauf, den Verlust, die Preisgabe oder den Missbrauch von Daten durch Kompromittierungen, Exfiltration und unbefugten Zugriff zu erkennen und zu vermeiden. Einige DLP-Lösungen können bei Erkennung einer Kompromittierung oder eines anderen Sicherheitsvorfalls auch Warnungen ausgeben, die Verschlüsselung aktivieren und Daten isolieren.
Zugriffsrechteverwaltung (PAM)
Die Zugriffsrechteverwaltung (Privileged Access Management, PAM) ist ein Prozess, der berechtigte Benutzer und Administratorkonten definiert und kontrolliert, um identitätsbasierte Malware-Angriffe zu minimieren und nicht autorisierte Zugriffe auf das Netzwerk oder die darin befindlichen Assets zu verhindern.
Zero Trust
Zero Trust ist ein Sicherheits-Framework, in dem alle Benutzer – innerhalb oder außerhalb des Unternehmensnetzwerks – authentifiziert, autorisiert und fortwährend auf ihre Sicherheitskonfiguration und -lage hin validiert werden müssen, bevor ein Anwendungs- und Datenzugriff erlaubt oder bestätigt wird.
Welche Vorteile bietet Ihnen Netzwerksicherheit?
Angesichts der zunehmenden Cyberkriminalität in den letzten Jahrzehnten ist Netzwerksicherheit von entscheidender Bedeutung. Der wachsende Trend zur Arbeit im Homeoffice und der Wechsel in die Cloud vergrößern die Angriffsfläche und bieten den Cyberkriminellen damit eine größere Auswahl an Zielen und Einfallstoren ins Netzwerk.
Für viele Unternehmen bedeutet ein Netzwerkausfall erhebliche Umsatz- und Produktivitätsverluste sowie Rufschäden. Zudem kann ein raffinierter Netzwerkangriff zu Geldstrafen oder Strafmaßnahmen führen, wenn festgestellt wird, dass das Unternehmen nur ungenügende oder ineffektive Netzwerksicherheitsmaßnahmen implementiert hat.
Eine umfassende Netzwerksicherheitsstrategie bietet Unternehmen folgende Vorteile:
Cloud- vs. Netzwerksicherheit: Was ist der Unterschied?
Cloud Computing gibt es schon seit einiger Zeit, aber die korrekte Bedeutung bestimmter Begriffe ist immer noch verwirrend. Ein Beispiel dafür ist die Unterscheidung zwischen Cloud-Sicherheit und Netzwerksicherheit.
Betrachten wir zunächst den Begriff Netzwerksicherheit, um zu verstehen, was er umfasst. Dann wenden wir uns der Cloud Security im Vergleich zur Netzwerksicherheit zu, um zu sehen, wie die beiden Begriffe miteinander verwandt sind, sich aber in mehreren Schlüsselbereichen unterscheiden.
Was ist Netzwerksicherheit? Netzwerksicherheit konzentriert sich auf Werkzeuge, die zum Schutz von Daten, Anwendungen und Ressourcen auf der Netzwerkebene eingesetzt werden. Der primäre Schwerpunkt liegt auf dem Schutz vor unbefugtem Zugriff in oder zwischen Teilen der gesamten Netzwerkinfrastruktur. Wenn die meisten Menschen über unbefugten Zugang nachdenken, neigen sie dazu, sich eine Person oder ein Gerät vorzustellen, das versucht, sich unberechtigterweise mit dem drahtgebundenen Netzwerk oder WLAN zu verbinden. Zu den Netzwerksicherheitswerkzeugen, die gegen diese Art von unbefugtem Zugriff schützen sollen, gehören Plattformen zur Netzwerkzugangskontrolle (NAC) und für Enterprise Mobility Management (EMM), sowohl für LANs und WLANs. Eine weitere Möglichkeit, sich vor unberechtigtem Zugriff zu schützen, besteht darin, eine Firewall und ein Intrusion Prevention System (IPS) an der Internetgrenze des Unternehmensnetzwerks zu platzieren. Diese Tools schützen vor unbefugten Akteuren, die darauf abzielen, Netzwerk-, Server- und Anwendungsschwachstellen mit böswillig gestalteten Paketen zu missbrauchen, um Zugang zu internen Ressourcen zu erhalten. Abbildung 1: In der Netzwerksicherheit ist die erste Verteidigungslinie die Netzwerkgrenze. Weitere externe Angriffsmethoden sind E-Mail-Angriffe, bösartige Websites, Brute-Force-Attacken und DDoS-Angriffe (Distributed Denial-of-Service). Eine Firewall, IPS, E-Mail-Schutz und ein Secure Web Gateway können auch diese Probleme bewältigen. Die Netzwerksicherheit bietet auch eine Möglichkeit für Remote-Benutzer im Internet, sicher auf interne Daten und Anwendungen zuzugreifen, während der Zugang für alle anderen verhindert wird. Sowohl Site-to-Site VPNs als auch Remote Access VPNs erfüllen diesen Zweck. Schließlich ist die Netzwerkebene ein hervorragender Ort, um böswillige Aktivitäten innerhalb der Unternehmensinfrastruktur zu überwachen. Moderne Systeme für Network Detection and Response verwenden Packet Capture, NetFlow und andere Streaming-Netzwerk-Telemetrie-Methoden, um das normale Netzwerkverhalten zu analysieren. Sie alarmieren Sicherheitsadministratoren, wenn Änderungen im Netzwerkverhalten auf einen Netzwerkverstoß hindeuten.
Was ist Cloud-Sicherheit? Cloud-Sicherheit und Netzwerksicherheit unterscheiden sich, weil der Begriff Cloud-Sicherheit mehr die gesamte Unternehmensinfrastruktur als nur die Netzwerksicherheit umfasst. Wenn von Cloud-Sicherheit die Rede ist, dann ist es im Allgemeinen im Kontext von IaaS-Cloud-Umgebungen, die Drittanbieter von Diensten offerieren. In diesem Fall umfasst Cloud Security nicht nur Tools für die Netzwerksicherheit, sondern auch Server-, Container-, Anwendungs- und Service-Level-Sicherheit. Sicherheits-Tools für Cloud-Netzwerke können die gleichen sein wie im privaten Unternehmensnetzwerk – oder auch nicht. In den meisten Fällen werden IaaS-Anbieter ihre eigenen proprietären Netzwerksicherheitsdienste wie Firewalls, IPS und VPN-Konnektivität anbieten. Über das Netzwerk hinaus kann Cloud-Sicherheit auch die folgenden Schutzmaßnahmen umfassen: Datenverschlüsselung
Multifaktor-Authentifizierung
Software zur Verhinderung von Malware für Server und Anwendungen
Scan- und Analyse-Tools sowie Monitoring von Servern, Anwendungen und Datenbanken
Konzepte und Anforderungen im Zusammenhang mit der Netzwerksicherheit in Azure
Inhaltsverzeichnis
Übersicht über die Netzwerksicherheit in Azure
Artikel
04/21/2022
21 Minuten Lesedauer
10 Mitwirkende
In diesem Artikel
Netzwerksicherheit kann als der Prozess zum Schutz von Ressourcen vor unbefugtem Zugriff oder einem Angriff durch Anwenden von Steuerelementen für den Netzwerkdatenverkehr definiert werden. Ziel ist, dafür zu sorgen, dass nur berechtigter Datenverkehr zugelassen wird. Azure verfügt über eine robuste Netzwerkinfrastruktur zur Unterstützung der Konnektivitätsanforderungen Ihrer Anwendungen und Dienste. Netzwerkkonnektivität ist zwischen Ressourcen in Azure, zwischen lokalen und in Azure gehosteten Ressourcen und zu und aus dem Internet und Azure möglich.
In diesem Artikel werden einige der in Azure angebotenen Optionen im Bereich Netzwerksicherheit erläutert. Sie erhalten Informationen zu folgenden Bereichen:
Azure-Netzwerke
Die Netzwerkzugriffssteuerung
Azure Firewall
Ein sicherer Remotezugriff und standortübergreifende Konnektivität
Verfügbarkeit
Namensauflösung
Umkreisnetzwerkarchitektur (DMZ)
Azure-DDoS-Schutz
Azure Front Door
Traffic Manager
Überwachung und Bedrohungserkennung
Azure-Netzwerke
Azure erfordert von einem virtuellen Computer eine Verbindung mit einem virtuellen Azure-Netzwerk. Ein virtuelles Netzwerk ist ein logisches Konstrukt, das auf dem physischen Azure-Netzwerkfabric basiert. Jedes virtuelle Netzwerk wird von allen anderen virtuellen Netzwerken isoliert. Dadurch wird sichergestellt, dass der Netzwerkdatenverkehr in Ihren Bereitstellungen nicht für andere Azure-Kunden zugänglich ist.
Weitere Informationen:
Die Netzwerkzugriffssteuerung
Netzwerkzugriffssteuerung bedeutet, die Konnektivität zu oder von bestimmten Geräten oder Subnetzen innerhalb eines virtuellen Netzwerks zu begrenzen. Das Ziel der Netzwerkzugriffssteuerung ist die Beschränkung des Zugriffs auf Ihre virtuellen Computer und Dienste auf genehmigte Benutzer und Geräte. Zugriffssteuerungen basieren auf den Entscheidungen, Verbindungen zu und von virtuellen Computern oder Diensten zuzulassen oder zu verweigern.
Azure unterstützt verschiedene Typen von Netzwerkzugriffssteuerungen. Diese umfassen:
Die Steuerung der Vermittlungsschicht
Routensteuerung und Tunnelerzwingung
Appliances für die Sicherheit des virtuellen Netzwerks
Die Steuerung der Vermittlungsschicht
Jede sichere Bereitstellung erfordert ein gewisses Maß an Netzwerkzugriffssteuerung. Das Ziel der Netzwerkzugriffssteuerung ist die Einschränkung der Kommunikation virtueller Computer auf die erforderlichen Systeme. Andere Verbindungsversuche werden blockiert.
Hinweis Storage-Firewalls werden im Artikel Übersicht über die Sicherheit von Azure Storage behandelt.
Netzwerksicherheitsgruppen (NSGs)
Wenn Sie eine einfache Zugriffssteuerung auf Netzwerkebene benötigen (basierend auf IP-Adresse und TCP- oder UDP-Protokollen), können Sie Netzwerksicherheitsgruppen verwenden. Eine Netzwerksicherheitsgruppe (NSG) ist eine einfache Firewall, die zustandsbehaftete Pakete filtert und die Zugriffssteuerung auf Grundlage eines 5-Tupels ermöglicht. NSGs umfassen Funktionen zum Vereinfachen der Verwaltung und zum Verringern von Konfigurationsfehlern:
Ergänzte Sicherheitsregeln: vereinfachen die Definition von NSG-Regeln und ermöglichen die Erstellung von komplexen Regeln anstelle der Erstellung mehrerer einfacher Regeln mit dem gleichen Ergebnis.
vereinfachen die Definition von NSG-Regeln und ermöglichen die Erstellung von komplexen Regeln anstelle der Erstellung mehrerer einfacher Regeln mit dem gleichen Ergebnis. Diensttags: von Microsoft erstellte Bezeichnungen, die eine Gruppe von IP-Adressen darstellen. Sie werden dynamisch aktualisiert, um IP-Adressbereiche aufzunehmen, die die Bedingungen erfüllen, mit denen die Aufnahme in die Bezeichnung definiert wird. Wenn Sie beispielsweise eine Regel erstellen möchten, die für alle Azure-Speicher in der östlichen Region gilt, können Sie Storage.EastUS verwenden.
von Microsoft erstellte Bezeichnungen, die eine Gruppe von IP-Adressen darstellen. Sie werden dynamisch aktualisiert, um IP-Adressbereiche aufzunehmen, die die Bedingungen erfüllen, mit denen die Aufnahme in die Bezeichnung definiert wird. Wenn Sie beispielsweise eine Regel erstellen möchten, die für alle Azure-Speicher in der östlichen Region gilt, können Sie Storage.EastUS verwenden. Anwendungssicherheitsgruppen: ermöglichen, dass Sie Ressourcen in Anwendungsgruppen bereitstellen und den Zugriff auf diese Ressourcen steuern, indem Sie Regeln erstellen, in denen diese Anwendungsgruppen verwendet werden. Wenn Sie z.B. Webserver in der Anwendungsgruppe „Webserver“ bereitstellen, können Sie eine Regel erstellen, die eine Netzwerksicherheitsgruppe anwendet, die 443-Datenverkehr aus dem Internet in alle Systeme der Anwendungsgruppe „Webserver“ zulässt.
NSGs bieten weder eine Inspektion auf Anwendungsebene noch authentifizierte Zugriffssteuerungen.
Weitere Informationen:
Defender für Cloud: Just-In-Time-Zugrif auf virtuelle Computer
In Microsoft Defender für Cloud können die Netzwerksicherheitsgruppen auf virtuellen Computern verwaltet und der Zugriff auf die virtuellen Computer kann -gesperrt werden, bis ein Benutzer mit den entsprechenden Azure RBAC-Berechtigungen (RBAC: rollenbasierte Zugriffssteuerung in Azure) den Zugriff anfordert. Nachdem der Benutzer erfolgreich autorisiert wurde, nimmt Defender für Cloud Änderungen an den Netzwerksicherheitsgruppen vor, um den Zugriff auf ausgewählte Ports für den angegebenen Zeitraum zu ermöglichen. Nach Ablauf des Zeitraums werden die NSGs auf ihren vorherigen gesicherten Status zurückgesetzt.
Weitere Informationen:
Dienstendpunkte
Dienstendpunkte sind eine weitere Möglichkeit der Steuerung des Datenverkehrs. Über eine direkte Verbindung können Sie die Kommunikation mit unterstützten Diensten nur auf Ihre VNETs einschränken. Der Datenverkehr aus Ihrem VNET an den angegebenen Azure-Dienst verbleibt im Backbone-Netzwerk von Microsoft Azure.
Weitere Informationen:
Routensteuerung und Tunnelerzwingung
Die Steuerung des Routingverhaltens in Ihren virtuellen Netzwerken ist eine entscheidende Funktion. Wenn das Routing nicht ordnungsgemäß konfiguriert ist, können sich auf dem virtuellen Computer gehostete Anwendungen und Dienste mit nicht autorisierten Geräten verbinden. Dies umfasst auch Systeme, die sich im Besitz potenzieller Angreifer befinden und von diesen betrieben werden.
Azure-Netzwerke unterstützen die Möglichkeit, das Routingverhalten für den Netzwerkdatenverkehr in Ihrem virtuellen Netzwerk benutzerdefiniert anzupassen. Dadurch können Sie die Standardeinträge in der Routingtabelle in Ihrem virtuellen Netzwerk ändern. Mithilfe der Steuerung des Routingverhaltens können Sie sicherstellen, dass der gesamte von einem bestimmten Gerät oder einer Gerätegruppe ausgehende Datenverkehr über einen bestimmten Punkt in Ihr virtuelles Netzwerk eintritt oder es über diesen verlässt.
Beispielsweise verfügen Sie in Ihrem virtuellen Netzwerk möglicherweise über eine Appliance für die Sicherheit des virtuellen Netzwerks. In diesem Fall möchten Sie auch gewährleisten, dass der gesamte ein- und ausgehende Datenverkehr in Ihrem virtuellen Netzwerk Ihre Appliance für die Sicherheit Ihres virtuellen Netzwerks passiert. Sie erreichen dies über die Konfiguration von benutzerdefinierten Routen (UDRs) in Azure.
Mithilfe der Tunnelerzwingung können Sie sicherstellen, dass Ihre Dienste nicht über die Erlaubnis verfügen, eine Verbindung mit Geräten im Internet zu initiieren. Beachten Sie, dass sich dieser Mechanismus von der Erlaubnis eingehender Verbindungen und der Antwort auf diese unterscheidet. Front-End-Webserver müssen auf Anforderungen von Internethosts antworten. Aus dem Internet stammender, auf diesen Webservern eingehender Datenverkehr wird daher zugelassen und die Webserver dürfen antworten.
Was Sie nicht erlauben sollten, ist die Initiierung einer ausgehenden Anforderung vonseiten des Front-End-Webservers. Diese Anforderungen können ein Sicherheitsrisiko darstellen, da diese Verbindungen dazu genutzt werden können, Schadsoftware herunterzuladen. Selbst wenn diese Front-End-Server ausgehende Anfragen an das Internet initiieren sollen, möchten Sie möglicherweise die Nutzung Ihrer lokalen Webproxys erzwingen. Dadurch können Sie die URL-Filterung und Protokollierung nutzen.
Um dies zu verhindern, sollten Sie stattdessen die Tunnelerzwingung verwenden. Wenn Sie die Tunnelerzwingung aktivieren, werden alle Verbindungen mit dem Internet zwangsweise über Ihr lokales Gateway hergestellt. Sie können die Tunnelerzwingung konfigurieren, indem Sie benutzerdefinierte Routen nutzen.
Weitere Informationen:
Appliances für die Sicherheit des virtuellen Netzwerks
Obwohl Netzwerksicherheitsgruppen, benutzerdefinierte Routen und die Tunnelerzwingung Sicherheit in der Vermittlungs- und Transportschicht des OSI-Modells bieten, kann es vorkommen, dass Sie Sicherheit auf höheren Ebenen als dem Netzwerk aktivieren möchten.
Ihre Sicherheitsanforderungen können beispielsweise Folgendes beinhalten:
Authentifizierung und Autorisierung, bevor Zugriff auf Ihre Anwendung gestattet wird
Angriffserkennung und die Antwort darauf
Überprüfung der Anwendungsebene für Protokolle auf oberen Ebenen
URL-Filterung
Antivirenprogramme und Antischadsoftware auf Netzwerkebene
Antirobot-Schutz
Anwendungszugriffssteuerung
Zusätzlicher DDoS-Schutz (zusätzlich zu dem eigenen DDoS-Schutz von Azure-Fabric)
Sie können mit einer Azure-Partnerlösung auf diese erweiterten Netzwerksicherheitsfunktionen zugreifen. Die aktuellen Azure-Partnerlösungen für die Netzwerksicherheit finden Sie im Azure Marketplace, indem Sie nach den Stichwörtern „Sicherheit“ und „Netzwerksicherheit“ suchen.
Azure Firewall
Azure Firewall ist ein cloudnativer, intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre cloudbasierten, in Azure ausgeführten Workloads bietet. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Sie ermöglicht die Untersuchung von Ost-West- und Nord-Süd-Datenverkehr.
Azure Firewall wird in zwei SKUs angeboten: Standard und Premium. Azure Firewall Standard bietet L3- bis L7-Filterung und Threat Intelligence-Feeds direkt von Microsoft Cyber Security. Azure Firewall Premium bietet erweiterte Funktionen wie signaturbasiertes IDPS, um eine schnelle Erkennung von Angriffen zu ermöglichen, indem nach bestimmten Mustern gesucht wird.
Weitere Informationen:
Ein sicherer Remotezugriff und standortübergreifende Konnektivität
Die Einrichtung, Konfiguration und Verwaltung Ihrer Azure-Ressourcen muss remote durchgeführt werden. Darüber hinaus möchten Sie vielleicht Hybrid-IT-Lösungen bereitstellen, die Komponenten sowohl lokal als auch öffentlich in der Azure-Cloud bereitstellen. Diese Szenarien erfordern einen sicheren Remotezugriff.
Azure-Netzwerke unterstützen die folgenden Szenarien für den sicheren Remotezugriff:
Verbinden einzelner Arbeitsstationen mit einem virtuellen Netzwerk
Verbinden lokaler Netzwerke mit einem virtuellen Netzwerk per VPN
Verbinden lokaler Netzwerke mit einem virtuellen Netzwerk mithilfe eines dedizierten WAN-Links
Verbinden virtueller Netzwerke untereinander
Verbinden einzelner Arbeitsstationen mit einem virtuellen Netzwerk
Möglicherweise möchten Sie es einzelnen Entwicklern oder Betriebsmitarbeitern gestatten, virtuelle Computer und Dienste in Azure zu verwalten. Angenommen, Sie benötigen Zugriff auf einen virtuellen Computer in einem virtuellen Netzwerk. Ihre Sicherheitsrichtlinie lässt jedoch keinen RDP- oder SSH-Remotezugriff auf einzelne virtuelle Computer zu. In diesem Fall können Sie eine Point-to-Site-VPN-Verbindung nutzen.
Mit der Point-to-Site-VPN-Verbindung können Sie eine private und sichere Verbindung zwischen dem Benutzer und dem virtuellen Netzwerk einrichten. Wenn die VPN-Verbindung hergestellt wurde, kann der Benutzer über die VPN-Verknüpfung mit RDP oder SSH auf jeden virtuellen Computer im virtuellen Netzwerk zugreifen. (Dies setzt voraus, dass der Benutzer sich authentifizieren kann und autorisiert ist.) Ein Point-to-Site-VPN unterstützt Folgendes:
Secure Socket Tunneling-Protokoll (SSTP), ein proprietäres SSL-basiertes VPN-Protokoll. Eine SSL-VPN-Lösung kann Firewalls durchdringen, da die meisten Firewalls den von TLS/SSL verwendeten TCP-Port 443 öffnen. SSTP wird nur auf Windows-Geräten unterstützt. Azure unterstützt alle Versionen von Windows, die über SSTP verfügen (Windows 7 und höher).
IKEv2-VPN, eine standardbasierte IPsec-VPN-Lösung. IKEv2-VPN kann zum Herstellen einer Verbindung von Mac-Geräten (OSX-Version 10.11 und höher) verwendet werden.
OpenVPN
Weitere Informationen:
Verbinden lokaler Netzwerke mit einem virtuellen Netzwerk per VPN
Möglicherweise möchten Sie Ihr gesamtes Unternehmensnetzwerk oder Teile davon mit einem virtuellen Netzwerk verbinden. Dies ist in hybriden IT-Szenarien üblich, in denen Unternehmen ihre lokalen Rechenzentren auf Azure ausweiten. Oftmals hosten Unternehmen bestimmte Bereiche eines Diensts in Azure und andere Bereiche lokal. Dies kann z.B. der Fall sein, wenn eine Lösung Front-End-Webserver in Azure und lokale Back-End-Datenbanken enthält. Diese Arten von „standortübergreifenden“ Verbindungen erhöhen die Sicherheit der in Azure verwalteten Ressourcen und ermöglichen Szenarien wie das Erweitern des Active Directory-Domänencontrollers auf Azure.
Sie erreichen dies zum Beispiel über ein Site-to-Site-VPN. Der Unterschied zwischen einem Site-to-Site-VPN und einem Point-to-Site-VPN ist, dass Letzteres ein einzelnes Gerät mit einem virtuellen Netzwerk verbindet. Ein Site-to-Site-VPN verbindet hingegen ein ganzes Netzwerk (z.B. Ihr lokales Netzwerk) mit einem virtuellen Netzwerk. Site-to-Site-VPN-Verbindungen mit einem virtuellen Netzwerk verwenden das äußerst sichere IPsec-VPN-Protokoll im Tunnelmodus.
Weitere Informationen:
Verbinden lokaler Netzwerke mit einem virtuellen Netzwerk mithilfe eines dedizierten WAN-Links
Punkt-zu-Standort und Standort-zu-Standort-VPN-Verbindungen sind effektive Methoden, um die standortübergreifende Konnektivität zu aktivieren. Allerdings weisen sie, einigen Unternehmen zufolge, die folgenden Nachteile auf:
VPN-Verbindungen verschieben Daten über das Internet. Bei der Datenverschiebung über ein öffentliches Netzwerk weisen diese Verbindungen möglicherweise Sicherheitsprobleme auf. Darüber hinaus können die Zuverlässigkeit und Verfügbarkeit dieser Internetverbindungen nicht garantiert werden.
VPN-Verbindungen mit virtuellen Netzwerken können für einige Anwendungen und Zwecke nicht ausreichend Bandbreite bereitstellen, da sie ihr Maximum bei etwa 200 MB/s erreichen.
Organisationen, die die höchsten Sicherheits- und Verfügbarkeitsstufen für ihre standortübergreifenden Verbindungen benötigen, verwenden in der Regel dedizierte WAN-Links für die Verbindung zu Remotestandorten. Azure bietet Ihnen die Möglichkeit, einen dedizierten WAN-Link zu verwenden, um Ihr lokales Netzwerk mit einem virtuellen Netzwerk zu verbinden. Azure ExpressRoute, ExpressRoute Direct und ExpressRoute Global Reach ermöglichen dies.
Weitere Informationen:
Verbinden virtueller Netzwerke untereinander
Es ist möglich, viele virtuelle Netzwerke für Ihre Bereitstellungen zu verwenden. Es gibt zahlreiche Gründe, warum dies sinnvoll sein kann. Möglicherweise soll die Verwaltung vereinfacht oder die Sicherheit erhöht werden. Unabhängig von den Beweggründen hinter der Platzierung der Ressourcen in verschiedenen virtuellen Netzwerken möchten Sie in einigen Fällen möglicherweise, dass zwischen den Ressourcen eines jeden Netzwerks eine Verbindung hergestellt wird.
Sie erreichen dies z.B., indem die Dienste in einem virtuellen Netzwerk über ein Internet-Loopback eine Verbindung mit Diensten in einem anderen virtuellen Netzwerk herstellen. Die Verbindung beginnt in einem virtuellen Netzwerk, durchläuft das Internet und endet wieder im virtuellen Zielnetzwerk. Bei Verwendung dieser Option wird die Verbindung den für internetbasierte Kommunikation typischen Sicherheitsproblemen ausgesetzt.
Eine bessere Option ist möglicherweise die Erstellung eines Site-to-Site-VPN, das eine Verbindung zwischen zwei virtuellen Netzwerken herstellt. Bei dieser Methode wird das gleiche IPsec-Protokoll im Tunnelmodus wie bei der zuvor erwähnten standortübergreifenden Site-to-Site-VPN-Verbindung verwendet.
Der Vorteil dieses Ansatzes besteht darin, dass die VPN-Verbindung über das Azure-Netzwerkfabric anstatt über das Internet erstellt wird. Dadurch erhalten Sie im Vergleich zu Site-to-Site-VPNs, die Verbindungen über das Internet herstellen, eine zusätzliche Sicherheitsebene.
Weitere Informationen:
Eine andere Möglichkeit zum Verbinden Ihrer virtuellen Netzwerke ist das VNET-Peering. Über dieses Feature können Sie zwei Azure-Netzwerke so verbinden, dass die Kommunikation zwischen ihnen über die Microsoft-Backbone-Infrastruktur ohne Übertragung über das Internet erfolgt. Über das VNET-Peering können zwei VNETs innerhalb derselben Region oder in verschiedenen Azure-Regionen verbunden werden. Mithilfe von NSGs kann die Konnektivität zwischen verschiedenen Subnetzen oder Systemen eingeschränkt werden.
Verfügbarkeit
Verfügbarkeit ist eine der Schlüsselkomponenten eines jeden Sicherheitsprogramms. Wenn Ihre Benutzer und Systeme über das Netzwerk keinen Zugriff auf die benötigten Ressourcen haben, kann der Dienst als gefährdet betrachtet werden. Azure verfügt über Netzwerktechnologien, die die folgenden Mechanismen für hohe Verfügbarkeit unterstützen:
HTTP-basierter Lastenausgleich
Lastenausgleich auf Netzwerkebene
Globaler Lastenausgleich
Der Lastenausgleich ist ein Verfahren, das entwickelt wurde, um Verbindungen zwischen mehreren Geräten gleichmäßig zu verteilen. Die Ziele des Lastenausgleichs sind:
Erhöhen der Verfügbarkeit: Wenn Sie einen Lastausgleich für Verbindungen auf mehreren Geräten vornehmen, können ein oder mehrere Geräte nicht mehr verfügbar sein, ohne dass dadurch der Dienst beeinträchtigt wird. Die auf den verbleibenden Onlinegeräten ausgeführten Dienste können weiterhin die Inhalte des Diensts bereitstellen.
Erhöhen der Leistung: Wenn Sie einen Lastausgleich für Verbindungen auf mehreren Geräten vornehmen, muss die gesamte Verarbeitung nicht auf einem Gerät allein erfolgen. Stattdessen werden die Verarbeitungs- und Speicheranforderungen für die Bereitstellung der Inhalte über mehrere Geräte verteilt.
HTTP-basierter Lastenausgleich
Organisationen, die webbasierte Dienste ausführen, möchten für diese Webdienste häufig einen HTTP-basierten Lastenausgleich verwenden. Dadurch kann ein angemessenes Maß an Leistung und Hochverfügbarkeit sichergestellt werden. Herkömmliche netzwerkbasierte Lastenausgleichsmodule basieren auf Vermittlungs- und Transportschichtprotokollen. Die Entscheidungen des HTTP-basierten Lastenausgleichs basieren dagegen auf Merkmalen des HTTP-Protokolls.
Azure Application Gateway umfasst den HTTP-basierten Lastenausgleich für Ihre webbasierten Dienste. Application Gateway unterstützt Folgendes:
Cookiebasierte Sitzungsaffinität: Diese Funktion stellt sicher, dass der Client mit dem Server hinter dem Lastenausgleich verbunden bleibt. Dies gewährleistet die Stabilität der Transaktionen.
TLS-Auslagerung Wenn ein Client eine Verbindung mit dem Lastenausgleich herstellt, wird diese Sitzung mithilfe des HTTPS-Protokolls (TLS) verschlüsselt. Sie können jedoch die Verbindung zwischen dem Lastenausgleich und dem Webserver hinter diesem so einrichten, dass das HTTP-Protokoll (unverschlüsselt) verwendet wird, und somit die Leistung erhöhen. Dies wird als „TLS-Auslagerung“ bezeichnet, da die Webserver hinter dem Lastenausgleich die durch die Verschlüsselung hervorgerufene, zusätzliche Prozessorauslastung nicht tragen müssen. Die Webserver können daher Dienstanforderungen schneller erfüllen.
URL-basiertes Inhaltsrouting: Diese Funktion ermöglicht es dem Lastenausgleich, ausgehend von der Ziel-URL zu entscheiden, wohin Verbindungen weitergeleitet werden sollen. Dies bietet viel mehr Flexibilität als Lösungen, die Lastenausgleichsentscheidungen auf Grundlage von IP-Adressen treffen.
Weitere Informationen:
Lastenausgleich auf Netzwerkebene
Im Gegensatz zum HTTP-basierten Lastenausgleich werden beim Lastenausgleich auf Netzwerkebene Entscheidungen auf Grundlage der IP-Adresse und der Portnummern (TCP oder UDP) getroffen. Mit Azure Load Balancer können Sie die Vorteile des Lastenausgleichs auf Netzwerkebene in Azure nutzen. Einige wichtige Eigenschaften von Load Balancer sind:
Lastenausgleich auf Netzwerkebene auf Grundlage von IP-Adressen und Portnummern
Unterstützung für alle Anwendungsschichtprotokolle
Verteilung der Last auf virtuelle Azure-Computer und Rolleninstanzen von Clouddiensten
Möglichkeit der Verwendung für Anwendungen und virtuelle Computer mit Internetzugriff (externer Lastenausgleich) und ohne Internetzugriff (interner Lastenausgleich)
Endpunktüberwachung zur Feststellung, ob einer der Dienste hinter dem Lastenausgleich nicht mehr verfügbar ist
Weitere Informationen:
Globaler Lastenausgleich
Einige Organisationen entscheiden sich für die höchstmögliche Verfügbarkeit. Dieses Ziel ist z.B. durch das Hosten von Anwendungen in weltweit verteilten Rechenzentren erreichbar. Wenn eine Anwendung in weltweit verteilten Rechenzentren gehostet wird, kann die Anwendung selbst dann noch ausgeführt werden, wenn eine ganze geopolitische Region nicht mehr verfügbar ist.
Diese Lastenausgleichsstrategie kann zudem zu Leistungsvorteilen führen. Sie können an den Dienst gesendete Anforderungen an das Rechenzentrum weiterleiten, das sich am nächsten bei dem Gerät befindet, das die Anforderung gesendet hat.
In Azure können Sie die Vorteile des globalen Lastenausgleichs mithilfe des Azure Traffic Manager nutzen.
Weitere Informationen:
Namensauflösung
Die Namensauflösung ist eine Schlüsselfunktion aller Dienste, die in Azure gehostet werden. Eine Kompromittierung der Namensauflösungsfunktion kann für die Sicherheit bedeuten, dass ein Angreifer Anforderungen von Ihren Websites auf die Website eines Angreifers umleiten kann. Eine sichere Namensauflösung ist eine Voraussetzung für alle Ihre gehosteten Clouddienste.
Es gibt zwei Arten der Namensauflösung, die Sie berücksichtigen müssen:
Interne Namensauflösung: Diese wird von Diensten in Ihren virtuellen Netzwerken und/oder in lokalen Netzwerken verwendet. Auf Namen, die für die interne Namensauflösung verwendet werden, kann nicht über das Internet zugegriffen werden. Für die optimale Sicherheit ist es wichtig, dass Ihr internes Namensauflösungsschema nicht für externe Benutzer zugänglich ist.
Externe Namensauflösung: Diese wird von Personen und Geräten außerhalb Ihrer lokalen und virtuellen Netzwerke verwendet. Hierbei handelt es sich um die Namen, die im Internet sichtbar sind und dazu verwendet werden, Verbindungen an Ihre cloudbasierten Dienste zu leiten.
Für die interne Namensauflösung stehen Ihnen zwei Optionen zur Verfügung:
DNS-Server in einem virtuellen Netzwerk: Beim Erstellen eines neuen virtuellen Netzwerks wird ein DNS-Server erstellt. Dieser DNS-Server kann die Namen der Computer in diesem virtuellen Netzwerk auflösen. Dieser DNS-Server kann nicht konfiguriert werden und wird vom Azure-Fabric-Manager verwaltet. Dadurch ist diese Lösung für die Namensauflösung sicher.
Bring Your Own DNS-Server (Verwenden eines eigenen DNS-Servers): Sie haben die Möglichkeit, einen DNS-Server Ihrer Wahl in Ihrem virtuellen Netzwerk bereitzustellen. Dieser DNS-Server kann ein in Active Directory integrierter DNS-Server oder eine dedizierte DNS-Serverlösung sein, die von einem Azure-Partner bereitgestellt wird und die Sie im Azure Marketplace erhalten.
Weitere Informationen:
Für die externe Namensauflösung stehen Ihnen zwei Optionen zur Verfügung:
Das lokale Hosten Ihres eigenen externen DNS-Servers
Das Hosten Ihres eigenen externen DNS-Servers bei einem Dienstanbieter
Viele große Organisationen hosten ihre eigenen DNS-Server lokal. Sie können dies, da sie über die notwendigen Fachkenntnisse im Bereich Netzwerke und die globale Präsenz verfügen.
In den meisten Fällen ist es besser, Ihre DNS-Namensauflösungsdienste bei einem Dienstanbieter zu hosten. Diese Dienstanbieter verfügen über die Fachkenntnisse im Bereich Netzwerke und eine globale Präsenz, sodass eine sehr hohe Verfügbarkeit Ihrer Namensauflösungsdienste gewährleistet werden kann. Verfügbarkeit ist entscheidend für DNS-Dienste, denn falls bei den Namensauflösungsdiensten Fehler auftreten, kann keine Verbindung zu Ihren mit dem Internet verbundenen Diensten hergestellt werden.
Azure bietet Ihnen eine hochverfügbare und hochleistungsfähige externe DNS-Lösung in Form von Azure DNS. Diese externe Namensauflösungslösung nutzt die weltweite Azure DNS-Infrastruktur. Sie können damit Ihre Domänen in Azure mithilfe der gleichen Anmeldeinformationen, APIs, Tools und Abrechnung wie für die anderen Azure-Dienste hosten. Als Teil von Azure bietet Azure DNS auch die strengen Sicherheitskontrollen, die in die Plattform integriert sind.
Weitere Informationen:
Azure DNS – Übersicht
Mit Azure DNS für private Domänen können Sie private DNS-Namen für Azure-Ressourcen konfigurieren, anstatt die automatisch zugewiesenen Namen zu verwenden. Dazu müssen Sie keine benutzerdefinierte DNS-Lösung hinzufügen.
Umkreisnetzwerkarchitektur
Viele große Organisationen verwenden Umkreisnetzwerke zum Segmentieren ihrer Netzwerke, um eine Pufferzone zwischen dem Internet und ihren Diensten zu erstellen. Der Umkreisbereich des Netzwerks wird als niedrige Sicherheitszone eingestuft. Daher werden keine wertvollen Ressourcen in diesem Netzwerksegment platziert. Normalerweise finden sich dort Netzwerksicherheitsgeräte, die über eine Netzwerkschnittstelle mit dem Umkreisnetzwerksegment verfügen. Eine andere Netzwerkschnittstelle ist mit einem Netzwerk mit virtuellen Computern und Diensten verbunden, die über das Internet eingehende Verbindungen akzeptieren.
Sie können Umkreisnetzwerke auf verschiedene Weise entwerfen. Die Entscheidung, ob und welche Art von Umkreisnetzwerk bereitgestellt werden soll, basiert auf Ihren Anforderungen zur Netzwerksicherheit.
Weitere Informationen:
Azure-DDoS-Schutz
DDoS-Angriffe (Distributed Denial of Service) stellen eines der größten Verfügbarkeits- und Sicherheitsprobleme für Kunden dar, die ihre Anwendungen in die Cloud verschieben. Ein DDoS-Angriff hat das Ziel, die Ressourcen einer Anwendung zu verbrauchen, damit sie für berechtigte Benutzer nicht mehr verfügbar ist. Jeder Endpunkt, der öffentlich über das Internet erreichbar ist, kann Ziel von DDoS-Angriffen werden.
Die Funktionen von DDoS Protection Standard umfassen:
Native Plattformintegration: Nativ in Azure integriert. Umfasst die Konfiguration über das Azure-Portal. DDoS Protection Standard erkennt Ihre Ressourcen und die Ressourcenkonfiguration.
Nativ in Azure integriert. Umfasst die Konfiguration über das Azure-Portal. DDoS Protection Standard erkennt Ihre Ressourcen und die Ressourcenkonfiguration. Sofort einsetzbarer Schutz: Dank vereinfachter Konfiguration sind alle Ressourcen in einem virtuellen Netzwerk sofort geschützt, sobald DDoS Protection Standard aktiviert wird. Es sind weder Benutzereingriffe noch Benutzerdefinitionen erforderlich. DDoS Protection Standard wehrt einen Angriff sofort automatisch ab, sobald er entdeckt wurde.
Dank vereinfachter Konfiguration sind alle Ressourcen in einem virtuellen Netzwerk sofort geschützt, sobald DDoS Protection Standard aktiviert wird. Es sind weder Benutzereingriffe noch Benutzerdefinitionen erforderlich. DDoS Protection Standard wehrt einen Angriff sofort automatisch ab, sobald er entdeckt wurde. Stets verfügbare Überwachung des Datenverkehrs: Die Datenverkehrsmuster Ihrer Anwendungen werden 24 Stunden am Tag und 7 Tage die Woche nach Anzeichen für DDoS-Angriffe überwacht. Abwehrmaßnahmen werden bei Überschreitung der Schutzrichtlinien ausgeführt.
Die Datenverkehrsmuster Ihrer Anwendungen werden 24 Stunden am Tag und 7 Tage die Woche nach Anzeichen für DDoS-Angriffe überwacht. Abwehrmaßnahmen werden bei Überschreitung der Schutzrichtlinien ausgeführt. Berichte zur Risikominderung nach Angriffen : Diese Berichte verwenden aggregierte Flowdaten aus dem Netzwerk, um detaillierte Informationen zu Angriffen auf Ihre Ressourcen bereitzustellen.
: Diese Berichte verwenden aggregierte Flowdaten aus dem Netzwerk, um detaillierte Informationen zu Angriffen auf Ihre Ressourcen bereitzustellen. Flowprotokolle zur Risikominderung nach Angriffen : Mit diesen Protokollen können Sie während eines aktiven DDoS-Angriffs den verworfenen Datenverkehr, den weitergeleiteten Datenverkehr und andere Daten in Zusammenhang mit dem Angriff in Echtzeit prüfen.
: Mit diesen Protokollen können Sie während eines aktiven DDoS-Angriffs den verworfenen Datenverkehr, den weitergeleiteten Datenverkehr und andere Daten in Zusammenhang mit dem Angriff in Echtzeit prüfen. Adaptive Optimierung: Dank einer intelligenten Profilerstellung lernt die Funktion den Datenverkehr Ihrer Anwendung kontinuierlich besser kennen. Auf dieser Basis wird das Profil ausgewählt und aktualisiert, das am besten zu Ihrem Dienst passt. Das Profil passt sich den Veränderungen des Datenverkehrs mit der Zeit an. Schutz für Ebene 3 bis Ebene 7: Bietet vollständigen DDoS-Stapelschutz bei Verwendung mit einer Web Application Firewall.
Dank einer intelligenten Profilerstellung lernt die Funktion den Datenverkehr Ihrer Anwendung kontinuierlich besser kennen. Auf dieser Basis wird das Profil ausgewählt und aktualisiert, das am besten zu Ihrem Dienst passt. Das Profil passt sich den Veränderungen des Datenverkehrs mit der Zeit an. Schutz für Ebene 3 bis Ebene 7: Bietet vollständigen DDoS-Stapelschutz bei Verwendung mit einer Web Application Firewall. Umfangreiche Angriffsabwehr: Über 60 verschiedene Angriffstypen können mit einer weltweiten Kapazität zum Schutz vor den größten bekannten DDoS-Angriffen abgewehrt werden.
Über 60 verschiedene Angriffstypen können mit einer weltweiten Kapazität zum Schutz vor den größten bekannten DDoS-Angriffen abgewehrt werden. Angriffsmetriken: Mit Azure Monitor kann auf eine Zusammenfassung der Metriken für jeden Angriff zugegriffen werden.
Mit Azure Monitor kann auf eine Zusammenfassung der Metriken für jeden Angriff zugegriffen werden. Angriffswarnungen: Mit integrierten Angriffsmetriken können Warnungen am Anfang und Ende eines Angriffs sowie währenddessen konfiguriert werden. Warnungen werden in Ihre Betriebssoftware wie Microsoft Azure Monitor-Protokolle, Splunk, Azure Storage, E-Mail und das Azure-Portal integriert.
Mit integrierten Angriffsmetriken können Warnungen am Anfang und Ende eines Angriffs sowie währenddessen konfiguriert werden. Warnungen werden in Ihre Betriebssoftware wie Microsoft Azure Monitor-Protokolle, Splunk, Azure Storage, E-Mail und das Azure-Portal integriert. Kostengarantie: Dienstguthaben für Datenübertragung und horizontale Anwendungsskalierung bei dokumentierten DDoS-Angriffen.
Dienstguthaben für Datenübertragung und horizontale Anwendungsskalierung bei dokumentierten DDoS-Angriffen. Schnelle Reaktion bei DDoS-Angriffen: Kunden von DDoS Protection Standard haben jetzt während eines aktiven Angriffs Zugang zum Rapid Response-Team. Rapid Response hilft bei der Untersuchung von Angriffen, beim Durchführen von kundenspezifischen Maßnahmen während eines Angriffs sowie bei der Analyse nach einem Angriff.
Weitere Informationen:
Azure Front Door
Mit dem Azure Front Door-Dienst können Sie das globale Routing Ihres Webdatenverkehrs definieren, verwalten und überwachen. Der Dienst optimiert das Routing des Datenverkehrs im Hinblick auf eine optimale Leistung und hohe Verfügbarkeit. Azure Front Door ermöglicht es Ihnen, WAF-Regeln (Web Application Firewall) für Zugriffssteuerung zu erstellen, um Ihren HTTP/HTTPS-Workload vor Missbrauch auf Basis von Client-IP-Adressen, Landeskennzahl und HTTP-Parametern zu schützen. Darüber hinaus können Sie mit Front Door auch Ratenbegrenzungsregeln erstellen, um schädlichen Botdatenverkehr zu bekämpfen. Der Dienst enthält TLS-Auslagerung und HTTP-/HTTPS-basierte Verarbeitung von Anforderungen auf Anwendungsebene.
Die Front Door-Plattform selbst wird durch einen DDoS-Schutz auf Azure-Infrastrukturebene geschützt. Zum weiteren Schutz kann Azure DDoS Protection Standard auf Ihren VNETs aktiviert werden und Ressourcen vor Vermittlungsschichtangriffen (TCP/UDP) über automatische Optimierung und Risikominderung schützen. Front Door ist ein Layer 7-Reverseproxy, der nur Webdatenverkehr über Back-End-Server zulässt und andere Arten von Datenverkehr standardmäßig blockiert.
Weitere Informationen:
Weitere Informationen zu allen Azure Front Door-Funktionen finden Sie in der Übersicht zu Azure Front Door.
Azure Traffic Manager
Azure Traffic Manager ist ein DNS-basierter Lastenausgleich für Datenverkehr, der es Ihnen ermöglicht, den Datenverkehr optimal auf Dienste in den globalen Azure-Regionen zu verteilen, und gleichzeitig Hochverfügbarkeit und Reaktionsfähigkeit sicherzustellen. Traffic Manager verwendet DNS, um Clientanforderungen auf der Grundlage einer Datenverkehrsrouting-Methode und der Integrität der Endpunkte an den optimalen Endpunkt weiterzuleiten. Ein Endpunkt ist ein Dienst mit Internetzugriff, der innerhalb oder außerhalb von Azure gehostet wird. Traffic Manager überwacht die Endpunkt und leitet keinen Datenverkehr an nicht verfügbare Endpunkte weiter.
Weitere Informationen:
Überwachung und Bedrohungserkennung
Azure umfasst Funktionen zur Unterstützung in diesem wichtigen Bereich bei der frühen Erkennung, Überwachung sowie Erfassung und Überprüfung des Netzwerkdatenverkehrs.
Azure Network Watcher
Azure Network Watcher kann bei der Problembehandlung verwendet werden und umfasst mehrere komplett neue Tools zur Identifizierung von Sicherheitsproblemen.
Die Sicherheitsgruppenansicht kann für die Überwachung und Sicherheitskonformität von virtuellen Computern verwendet werden. Verwenden Sie dieses Feature, um programmgesteuerte Überprüfungen durchzuführen, bei denen die von Ihrer Organisation definierten Basisrichtlinien mit den effektiven Regeln für die einzelnen virtuellen Computer verglichen werden. Hierdurch können Konfigurationsabweichungen einfacher festgestellt werden.
Die Paketerfassung ermöglicht die Erfassung des Netzwerkdatenverkehrs zur und von der virtuellen Maschine. Sie können Netzwerkstatistiken erfassen und Anwendungsprobleme beheben, was hinsichtlich der Überprüfung von Angriffen auf das Netzwerk sehr nützlich sein kann. Sie können dieses Feature auch zusammen mit Azure Functions verwenden, um als Reaktion auf bestimmte Azure-Warnungen Netzwerkaufnahmen zu starten.
Weitere Informationen zu Network Watcher und zum Testen einiger Funktionen in den Labs finden Sie unter Übersicht über die Überwachung in Azure Network Watcher.
Hinweis Aktuelle Hinweise zur Verfügbarkeit und zum Status dieses Diensts finden Sie auf der Seite mit Azure-Updates.
Microsoft Defender für Cloud
Microsoft Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen und verschafft Ihnen mehr Transparenz und somit eine bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements, hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum an Sicherheitslösungen verwendet werden.
Mit Defender für Cloud können Sie die Netzwerksicherheit wie folgt optimieren und überwachen:
Angeben von Empfehlungen zur Netzwerksicherheit
Überwachen des Zustands der Netzwerksicherheitskonfiguration
Warnen vor netzwerkbasierten Bedrohungen auf Endpunkt- und Netzwerkebene
Weitere Informationen:
TAP eines virtuellen Netzwerks
Mit dem TAP (Terminal Access Point) für virtuelle Azure-Netzwerke können Sie Ihren VM-Netzwerkdatenverkehr kontinuierlich an einen Netzwerkpaketcollector oder ein Analysetool streamen. Der Collector oder das Analysetool wird von einem Partner für virtuelle Netzwerkappliances bereitgestellt. Mit derselben TAP-Ressource für virtuelle Netzwerke können Sie Datenverkehr von mehreren Netzwerkschnittstellen in der gleichen oder in unterschiedlichen Abonnements aggregieren.
Weitere Informationen:
Protokollierung
Protokollierung auf Netzwerkebene ist eine entscheidende Funktion für jedes Netzwerksicherheitsszenario. In Azure können Sie Informationen für Netzwerksicherheitsgruppen protokollieren, um Protokollierungsinformationen auf Netzwerkebene zu erhalten. Mit der NSG-Protokollierung erhalten Sie Informationen aus:
Aktivitätsprotokolle: In diesen Protokollen können Sie alle Vorgänge anzeigen, die an Ihre Azure-Abonnements übermittelt werden. Diese Protokolle sind standardmäßig aktiviert und können im Azure-Portal verwendet werden. Sie wurden zuvor als „Überwachungsprotokolle“ oder „Betriebsprotokolle“ bezeichnet.
Ereignisprotokolle: Diese Protokolle enthalten Informationen zu den angewendeten NSG-Regeln.
Leistungsindikatorenprotokolle: In diesen Protokollen ist aufgezeichnet, wie oft jede NSG-Regel angewendet wurde, um Datenverkehr zuzulassen oder zu verweigern.
Sie können auch das leistungsstarke Datenvisualisierungstool Microsoft Power BIverwenden, um diese Protokolle anzuzeigen und zu analysieren. Weitere Informationen: