Azure Security Center – Erweiterungen

Veröffentlicht am 20 April, 2020

Principal Group PM Manager, Azure Security Center

Bei Microsoft Ignite 2019 haben wir die Vorschauversion von mehr als 15 neuen Features angekündigt. Dieser Blog bietet ein Update zu den Features, die für unsere Kunden jetzt generell zur Verfügung stehen.

Während die Welt zusammenrückt, um COVID-19 zu bekämpfen, und die Telearbeit für viele Unternehmen zu einem kritischen Aspekt wird, ist es extrem wichtig, den Sicherheitsstatus Ihrer Cloudressourcen aufrechtzuerhalten und gleichzeitig mehr Mitarbeitern im Home-Office den Zugriff auf diese Ressourcen zu ermöglichen.

Azure Security Center kann dabei helfen, die Maßnahmen zu priorisieren, die Sie ergreifen müssen, um Ihren Sicherheitsstatus zu schützen und Bedrohungsschutz für alle Ihre Cloudressourcen bereitzustellen.

Verbesserter Bedrohungsschutz für Ihre Cloudressourcen mit Azure Security Center

Azure Security Center erweitert weiterhin seine Bedrohungsschutzfunktionen, um raffinierten Bedrohungen auf Cloudplattformen entgegenzuwirken:

Überprüfen von Containerimages auf Sicherheitsrisiken in Azure Container Registry generell verfügbar

Azure Security Center kann Containerimages in Azure Container Registry (ACR) auf Sicherheitsrisiken überprüfen.

Bei der Imageüberprüfung werden die Pakete oder andere in der Containerimagedatei definierten Abhängigkeiten analysiert. Anschließend wird überprüft, ob es in diesen Paketen oder Abhängigkeiten bekannte Sicherheitsrisiken gibt (unterstützt von einer Qualys-Datenbank zur Sicherheitsrisikobewertung).

Die Überprüfung wird automatisch ausgelöst, wenn neue Containerimages per Push an Azure Container Registry übertragen werden. Entdeckte Sicherheitsrisiken werden als Security Center-Empfehlungen angezeigt und – zusammen mit Informationen zum Patchen dieser Risiken für eine Reduzierung der gebotenen Angriffsfläche – in die Sicherheitsbewertung (Secure Score) einbezogen.

Seit wir bei Ignite 2019 die Vorschauversion gestartet haben, wurden durch registrierte Abonnements mehr als 1,5 Millionen Überprüfungen von Containerimages initiiert. Wir haben das dazu erhaltene Feedback sorgfältig analysiert und in diese generell verfügbare Version integriert. Wir haben den Überprüfungsstatus hinzugefügt, um den Fortschritt der Überprüfung („Nicht überprüft“, „Überprüfung wird ausgeführt“, „Überprüfungsfehler“ und „Abgeschlossen“) anzuzeigen, und die Benutzerfreundlichkeit – basierend auf dem von Ihnen erhaltenen Feedback – verbessert.

Ergebnisse der Sicherheitsrisikobewertung von Azure Container Registry

Unterstützung des Bedrohungsschutzes für Azure Kubernetes Service in Security Center generell verfügbar

Von der beliebten Open Source-Plattform Kubernetes wurde so viel übernommen, dass sie jetzt ein Branchenstandard für Containerorchestrierung ist. Trotz dieser Verbreitung besteht immer noch einige Unsicherheit in Bezug auf die Sicherung einer Kubernetes-Umgebung. Zur Verteidigung der Angriffsflächen einer containerbasierten Anwendung sind Fachkenntnisse erforderlich. Sie müssen dafür sorgen, dass die Infrastruktur sicher konfiguriert wird, und sie ständig auf potenzielle Bedrohungen überwachen. Unterstützung für Security Center und Azure Kubernetes Service (AKS) steht jetzt generell zur Verfügung.
 
Folgende Funktionen werden geboten: 

  1. Erkennung und Sichtbarkeit: Fortlaufende Erkennung von verwalteten AKS-Instanzen in den registrierten Security Center-Abonnements
  2. Secure Score-Empfehlungen: Aktionselemente, mit denen Kunden im Rahmen des Secure Score eines Kunden die bewährten Methoden für die Sicherheit in AKS einhalten können (z. B. „Die rollenbasierte Zugriffssteuerung sollte verwendet werden, um den Zugriff auf Kubernetes Service-Cluster einzuschränken.“)
  3. Bedrohungsschutz: Host- und clusterbasierte Analysen, z. B. „Ein privilegierter Container wurde erkannt.“

Bei der generell verfügbaren Version haben wir neue Warnungen hinzugefügt. Die vollständige Liste finden Sie in den Abschnitten Alerts for Azure Kubernetes Service clusters (Warnungen für Azure Kubernetes Service: Cluster) und Warnungen für Container: Hostebene der Referenztabelle zu Warnungen. Außerdem wurden Warnungsdetails wurden optimiert, um falsch positive Ergebnisse zu reduzieren.
  

Beispiel für eine Warnung zu Azure Kubernetes Service

Verbesserungen bei der Verwaltung des Cloudsicherheitsstatus

Fehlkonfigurationen sind die häufigste Ursache für Sicherheitsverletzungen in Cloudworkloads. Mit Azure Security Center erhalten Sie eine sehr gute Übersicht über den Sicherheitsstatus Ihrer Azure-Umgebung, sodass Sie den Status kontinuierlich überwachen und anhand der Azure-Sicherheitsbewertung (Azure Secure Score) verbessern können. Security Center unterstützt Sie bei der Verwaltung und Durchsetzung Ihrer Sicherheitsrichtlinien, um derartige Fehlkonfigurationen in Ihren verschiedenen Ressourcen zu identifizieren und zu beheben sowie die Compliance einzuhalten. Wir erweitern weiterhin unsere Ressourcenabdeckung und die detaillierten Einblicke, die in der Sicherheitsstatusverwaltung zur Verfügung stehen.

Unterstützung für benutzerdefinierte Richtlinien generell verfügbar

Unsere Kunden haben sich gewünscht, die Abdeckung ihrer aktuellen Sicherheitsbewertungen in Security Center um ihre eigenen Sicherheitsbewertungen zu erweitern, die auf Richtlinien basieren, die sie in Azure Policy erstellen. Da nun benutzerdefinierte Richtlinien unterstützt werden, ist dies jetzt möglich.

Wir kündigen auch an, dass Azure Security Center-Unterstützung für benutzerdefinierte Richtlinien generell zur Verfügung steht. Diese neuen Richtlinien sollen Teil der Azure Security Center-Empfehlungen, der Sicherheitsbewertung (Secure Score) und des Dashboards für Standards zur Einhaltung gesetzlicher Bestimmungen werden. Mit der Unterstützung für benutzerdefinierte Richtlinien können Sie jetzt eine benutzerdefinierte Initiative in Azure Policy erstellen und als Richtlinie in Azure Security Center hinzufügen, indem Sie eine einfache Click-Through-Onboarding-Umgebung ausführen und in Form von Empfehlungen visualisieren.

In dieser Version haben wir die Möglichkeit zum Bearbeiten der benutzerdefinierten Empfehlungsmetadaten hinzugefügt, um Schweregrade, Korrekturschritte, Bedrohungsinformationen und mehr einzubeziehen.

Bewertungs-API generell verfügbar

Wir führen eine neue API ein, damit Sie Azure Security Center-Empfehlungen mit Informationen abrufen und von uns den Grund für das Fehlschlagen von Bewertungen erfahren können. Die neue API enthält zwei APIs:

Wir empfehlen, dass unsere Kunden, die die vorhandene Tasks-API verwenden, die neue Bewertungs-API für ihre Berichterstellung verwenden sollten.

Dynamische Compliancepakete für die Einhaltung gesetzlicher Bestimmungen generell verfügbar  

Sie können jetzt „dynamische Compliancepakete“ oder zusätzliche Standards hinzufügen, die über die „integrierten“ Compliancepakete bei der Einhaltung gesetzlicher Bestimmungen hinausgehen.

Das Dashboard für die Einhaltung gesetzlicher Bestimmungen in Azure Security Center bietet Einblicke in Ihren Konformitätsstatus relativ zu einer Reihe von Branchenstandards, Regelungen und Benchmarks. Bewertungen überwachen kontinuierlich den Sicherheitsstatus Ihrer Ressourcen, und so wird analysiert, wie gut Ihre Umgebung die Anforderungen für bestimmte Konformitätskontrollen erfüllt. Diese Bewertungen enthalten auch umsetzbare Empfehlungen, wie Sie den Status Ihrer Ressourcen korrigieren und so den Konformitätsstatus verbessern können.

Anfangs enthielt das Dashboard für die Einhaltung gesetzlicher Bestimmungen einen sehr begrenzten Satz an Standards, die in das Dashboard „integriert“ waren und einen statischen Satz von Regeln verwendeten, die in Security Center enthalten waren. Mit dem Feature „dynamische Compliancepakete“ können Sie neue Standards und Benchmarks hinzufügen, die wichtig für Ihr Dashboard sind. Compliancepakete sind im Wesentlichen in Azure Policy definierte Initiativen. Wenn Sie Ihrem Abonnement oder Ihrer Verwaltungsgruppe ein Compliancepaket aus der ASC-Sicherheitsrichtlinie hinzufügen, wird dadurch im Wesentlichen die gesetzliche Initiative Ihrem ausgewählten Bereich (Abonnement oder Verwaltungsgruppe) zugewiesen. Dieser Standard oder diese Benchmark wird dann in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen mit allen zugehörigen Compliancedaten angezeigt, die als Bewertungen zugeordnet wurden.

Auf diese Weise können Sie neu veröffentlichte gesetzliche Initiativen als Konformitätsstandards in Ihrem Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen nachverfolgen. Außerdem gilt: Wenn Microsoft neue Inhalte für die Initiative veröffentlicht (d. h. neue Richtlinien, die mehr Regeln im Standard entsprechen), werden die zusätzlichen Inhalte in Ihrem Dashboard automatisch angezeigt. Sie können auch einen Zusammenfassungsbericht für jeden der Standards herunterladen, die in Ihr Dashboard integriert wurden.

Es gibt mehrere unterstützte gesetzliche Standards und Benchmarks, die in Ihr Dashboard integriert werden können. Der bzw. die neueste ist der Vergleichstest für die Azure-Sicherheit. Dabei handelt es sich um die von Microsoft erstellten Azure-spezifischen Richtlinien für bewährte Sicherheits- und Complianceverfahren auf der Grundlage allgemeiner Compliance-Frameworks. Zusätzliche Standards werden vom Dashboard unterstützt, sobald sie zur Verfügung gestellt wurden.  

Weitere Informationen zu dynamischen Compliancepaketen finden Sie in der Dokumentation hier.

Workflowautomatisierung mit Azure Logic Apps generell verfügbar 

Organisationen mit zentral verwalteten Sicherheits- und IT-Vorgängen implementieren interne Workflowprozesse, um erforderliche Aktionen innerhalb der Organisation voranzutreiben, wenn in deren Umgebungen Abweichungen entdeckt werden. In vielen Fällen handelt es sich bei diesen Workflows um wiederholbare Prozesse, und durch die Automatisierung können zusätzliche Optimierungsprozesse innerhalb der Organisation erheblich verringert werden.

Workflowautomatisierung in Azure Security Center, jetzt generell verfügbar, ermöglicht es Kunden, mithilfe von Azure Logic Apps Automatisierungskonfigurationen zu erstellen und außerdem Richtlinien zu erstellen, die diese Konfigurationen – basierend auf bestimmten Security Center-Ergebnissen wie z. B. Empfehlungen oder Warnungen – automatisch auslösen. Eine Azure-Logik-App kann so konfiguriert werden, dass eine beliebige benutzerdefinierte Aktion, die von den vielen Logik-App-Connectors unterstützt wird, ausgeführt oder eine der von Security Center bereitgestellten Vorlagen, z. B. zum Senden einer E-Mail, verwendet wird. Außerdem können Benutzer jetzt eine Logik-App bei einer einzelnen Warnung oder Empfehlung direkt aus der Empfehlung (mit einer „Quick Fix“-Option) oder über eine Warnungsseite in Azure Security Center manuell auslösen.

Erweiterte Integrationen mit Export von Security Center-Empfehlungen und -Warnungen generell verfügbar

Das Feature „Fortlaufender Export“ von Azure Security Center, das den Export Ihrer Sicherheitswarnungen und -empfehlungen unterstützt, steht jetzt generell, auch über Richtlinien, zur Verfügung. Mit diesem Feature können Sie die Sicherheitsdaten aus Ihrer Security Center-Umgebung unkompliziert mit den Überwachungstools verbinden, die in Ihrer Organisation verwendet werden. Exportieren Sie die Daten einfach in Azure Event Hubs- oder Azure Log Analytics-Arbeitsbereiche.

Diese Funktion unterstützt u. a. unternehmensweite Szenarien über die folgenden Integrationen:

  • Der Export zu Azure Event Hubs ermöglicht die Integration mit Azure Sentinel, Drittanbieter-SIEMs, Azure Data Explorer und Azure Functions.
  • Der Export in Azure Log Analytics-Arbeitsbereiche ermöglicht die Integration mit Microsoft Power BI, benutzerdefinierten Dashboards und Azure Monitor.

Weitere Informationen zum fortlaufenden Export

Schaffen eines sicheren Fundaments

Azure bietet Ihnen mit diesen Neuzugängen weiterhin ein sicheres Fundament sowie integrierte native Sicherheitstools und intelligente Einblicke, damit Sie Ihren Sicherheitsstatus in der Cloud schnell verbessern können. Azure Security Center verstärkt seine Rolle als einheitliche Sicherheitsverwaltung und erweiterte Lösung für Bedrohungsschutz für Ihre Hybrid Cloud.

Sicherheit kann nicht warten. Beginnen Sie noch heute mit Azure Security Center, und besuchen Sie die technische Community von Azure Security Center. Dort können Sie sich mit anderen Benutzern austauschen, die so sicherheitsbewusst wie Sie sind.