Auf der Microsoft Ignite geben wir die vielen neuen Funktionen bekannt, die unsere Teams zur Verbesserung der Sicherheit mit Azure Security Center und der Azure-Plattform erstellt haben. Wir haben eine lange Liste von neuen Innovationen, und dieser Blogbeitrag gibt unsere allgemeine Richtung wieder und bietet eine Zusammenfassung einiger Features, auf wir besonders stolz sind. Weitere Informationen erhalten Sie in den Details in unserem Azure Security Center-Communitybeitrag.

Den benötigten Schutz mit Azure Security Center aktivieren

Azure Security Center bietet eine vereinheitlichte Sicherheitsverwaltung der Infrastruktur, mit der Sie den Sicherheitsstatus verbessern und erweiterten Bedrohungsschutz für alle Ihre in Azure, lokal und in anderen Clouds ausgeführten Workloads bereitstellen können. Die Lösung ermöglicht eine fortlaufende Bewertung des Sicherheitsstatus, schützt mithilfe der extrem umfangreichen Bedrohungsinformationen von Microsoft vor Cyberangriffen und trägt mit integrierten Steuerelementen zur schnelleren Implementierung von Sicherheitsmaßnahmen bei.

Mit Security Center können Sie die Sicherheit Ihrer Computer, Netzwerke und Azure-Dienste mithilfe Hunderter integrierter oder auf einem zentralen Dashboard selbst erstellter Sicherheitsbewertungen überwachen.

Umfassendere Abdeckung durch Azure Security Center mit einer Plattform für die Community und Partner

In einer sich ständig weiterentwickelnden Bedrohungslandschaft sind neue Konzepte für Schutz, Cloudsicherheitsstatus, Entwicklung auf Unternehmensebene und Automatisierung erforderlich. Über Partnerschaften mit Mitgliedern der Microsoft Intelligent Security Association kann Microsoft einen riesigen Wissenspool nutzen, um eine Verteidigung gegen eine Welt der immer weiter zunehmenden Cybersicherheitsbedrohungen zu bieten.

Nutzen Sie alle Funktionen von Security Center für integrierte und von Partnern bereitgestellte Empfehlungen. Im einfachen Onboardingflow von Azure Security Center werden vorhandene Lösungen wie Check Point CloudGuard, CyberArk oder Tenable verbunden, sodass Sie alle Sicherheitsstatusempfehlungen an einem einzigen Ort einsehen können. Erstellen Sie vereinheitlichte Berichte, und exportieren Sie die Empfehlungen von Security Center für verbundene Partnerprodukte.

Wir laden Benutzer ein, selbst einen Beitrag zu leisten und beim Verbessern der in Security Center verwendeten Richtlinien und Konfigurationen zu helfen. Dazu können über das Azure Security Center-Communitymenü zusätzliche Skripts, Inhalte und Communityressourcen bereitgestellt werden.

Verbesserter Bedrohungsschutz für Cloudressourcen

Der Bedrohungsschutz erkennt und verhindert Angriffe auf eine breite Palette von Diensten, von der IaaS-Ebene (Infrastructure-as-a-Service) bis hin zu PaaS-Ressourcen (Platform as a Service) in Azure, einschließlich Azure IoT und Azure App Service, sowie auf lokalen virtuellen Computern.

Streamen Sie Ergebnisse der Bedrohungserkennung zur Untersuchung, Bedrohungssuche, Korrelation mit Signalen von anderen Sicherheitslösungen und Verwaltung auf Security Operations Center-Ebene (SOC) zu Azure Sentinel.

Zu den neuesten Funktionen der Bedrohungserkennung gehören:

• Unterstützung für Bedrohungsschutz und Sicherheitsrisikobewertung für SQL Server in Azure Virtual Machines
• Die Funktionen zur Sicherheitsrisikobewertung für VMs sind ein Teil unseres Schutzangebots für virtuelle Computer (auf der Grundlage von Qualys) ohne zusätzliche Kosten. Security Center sammelt die Sicherheitsrisiken und zeigt sie im Rahmen der Sicherheitsbewertung an.
• Die Bedrohungsschutzsuite für Container mit besonderem Schwerpunkt auf Azure Kubernetes Service (AKS) umfasst das Scannen von Containerimages auf Sicherheitsrisiken, die sichere Konfiguration des AKS-Clusters und die Bedrohungserkennung in Kubernetes-Laufzeitaktivitäten.
• Der Bedrohungsschutz für Azure Key Vault befindet sich in den nordamerikanischen Regionen in der Vorschauphase. Dieser bietet eine zusätzliche Schicht von Sicherheitsanalysen zur Erkennung von ungewöhnlichen und möglicherweise schädlichen Versuchen, auf Verschlüsselungsschlüssel, Zertifikate und Geheimnisse in Azure Key Vault zuzugreifen.
• Der Bedrohungsschutz für Azure Storage bietet mithilfe der Analyse von Hashbewertung und verdächtigen Zugriffsmustern von einem aktiven Tor-Exitknoten (anonymisierender Proxy) von Microsoft Threat Intelligence neue Funktionen zum Erkennen von Schadsoftwareuploads in Azure Storage. Sie können jetzt mithilfe von Azure Security Center in Speicherkonten erkannte Schadsoftware anzeigen lassen.

Verbesserungen bei der Verwaltung des Cloudsicherheitsstatus

Fehlkonfigurationen sind die häufigste Ursache für Sicherheitsverletzungen in Cloudworkloads. Security Center bietet eine umfassende Übersicht über den Sicherheitsstatus Ihrer Azure-Umgebung, sodass Sie die Sicherheit fortlaufend überwachen und anhand der Azure-Sicherheitsbewertung verbessern können. Security Center hilft bei der Verwaltung und Durchsetzung Ihrer Sicherheitsrichtlinien zum Identifizieren und Beheben von Fehlkonfigurationen in verschiedenen Ressourcen sowie zum Einhalten von Compliance.

Neue Funktionen:

• Vereinfachte Sicherheitsbewertung: Die aktualisierte, auf Prozentsätzen basierende Sicherheitsbewertung vermittelt einen besseren Eindruck von den Steuermöglichkeiten der Sicherheitsbewertung und stellt eine zuverlässigere Methode zur Berechnung der Bewertung dar.
• Reagieren Sie mit neuen Schnellbehebungsfunktionen schneller auf Fehlkonfigurationen.
• Fügen Sie benutzerdefinierte Bewertungen, die in Azure Policy erstellt wurden, in die Sicherheitsbewertung ein, und überwachen Sie den Compliancestatus in Security Center.
• Beurteilen Sie den Compliancestatus automatisch anhand neuer Regulierungsstandards wie NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM und UK Official gemeinsam mit UK NHS.

Fehlkonfigurationen sind die Hauptquelle von Angriffen, und eine Verbesserung Ihrer Sicherheitsbewertung kann einen entscheidenden Unterschied für Ihren allgemeinen Sicherheitsstatus ausmachen.

Schnellere Implementierung von Sicherheit mit Azure Security Center

Um großen Organisationen die Möglichkeit zu geben, die Ergebnisse von Security Center auf Enterpriseniveau zu nutzen, bietet Azure Security Center weiterhin klare APIs sowie Automatisierungs- und Verwaltungsfunktionen, die Kunden beim Verbinden von Security Center mit den in der gesamten Organisation verwendeten Workflows, Prozessen und Tools helfen.

Eine neue Funktion in Security Center ermöglicht das Erstellen von ausgereiften Workflows mit Azure Logic Apps und Richtlinienauslösungen durch Empfehlungen oder Warnungen. Konfigurieren Sie eine Logik-App, die eine benutzerdefinierte Aktion mithilfe der großen Community für Logik-App-Connectors ausführt, oder verwenden Sie eine der bereitgestellten Vorlagen, einschließlich Senden einer E-Mail und Öffnen eines Servicetickets.

Sicherheit von Anfang an

Zusätzlich zu den Azure Security Center-Updates haben wir verschiedene Verbesserungen an der Sicherheit der Azure-Plattform vorgenommen. Um Ihnen immer mehr Möglichkeiten zu geben, verbessern wir die Plattformdienste in Form von bereits vorhandenen Angeboten oder als Umsetzung Ihres Feedbacks.

Hier sind einige der interessanten Updates für die Plattform. 

Erweiterung von Kunden-Lockbox für Microsoft Azure über virtuelle Computer hinaus

Kunden-Lockbox bietet Kunden die Möglichkeit, den Zugriff von Azure-Supportmitarbeitern auf Workloads zu steuern, die Kundendaten enthalten. Mit dieser erweiterten Unterstützung können Kunden jetzt den Zugriff auf ihre Daten für eine größere Bandbreite von Azure-Angeboten steuern.

Neue Dienste und Szenarien, die als Vorschauversion verfügbar sind:

• Azure Storage
• Azure SQL-Datenbank
• Azure-Daten-Explorer
• Speicherabbilder und verwaltete Datenträger für Azure Virtual Machines
• Übertragung von Azure-Abonnements

Veröffentlichung des Toolkits für die Microsoft-Sicherheitscodeanalyse zum Erstellen von sicherem Code

Mit der Erweiterung für die Microsoft-Sicherheitscodeanalyse können Sie Sicherheitsanalysetools einschließlich CredScan, BinSkim usw. in Ihre Azure DevOps-CI/CD-Pipelines (Continuous Integration und Continuous Delivery) einbinden. Erhöhen Sie die Entwicklerproduktivität, und vereinfachen Sie Sicherheitsmaßnahmen durch einfach konfigurierbare Buildaufgaben, die die Komplexität von Analysetools (Installieren, Aktualisieren, Warten und Ausführen) abstrahieren, ohne dabei die Kontrolle über diese Tools aufzugeben. 

Dieses Produkt ist jetzt über Unified Support verfügbar. Kunden können sich mit ihrem vorhandenen Guthaben oder durch Zahlen der Servicegebühr registrieren. Weitere Informationen finden Sie auf der Dokumentationsseite für die Microsoft-Sicherheitscodeanalyse.

Azure Disk Encryption an weiteren Orten und noch mehr Dienste mit der Möglichkeit kundenseitig verwalteter Schlüssel

Mit Azure Disk Encryption können Sie Ihre Azure Virtual Machine-Datenträger mit Ihren Schlüsseln verschlüsseln, die in Azure Key Vault geschützt sind. Zuvor wurde diese Funktion über PowerShell und die Befehlszeilenschnittstelle bereitgestellt. Wir haben diese Funktion nun dem Azure-Portal hinzugefügt, sodass sie noch einfacher anzuwenden ist. Außerdem haben wir Unterstützung für die aktuellen Versionen der verbreiteten Linux-Distributionen in Azure hinzugefügt, darunter Red Hat Enterprise Linux 7.6 und 7.7 sowie CentOS Linux 7.6 und 7.7.

Probieren Sie es mit dem Schnellstart für Windows oder dem Schnellstart für Linux jetzt selbst aus.

Für die folgenden Dienste wurde kürzlich eine Vorschau für kundenseitig verwaltete Schlüssel für die Verschlüsselung ruhender Daten bekannt gegeben.

• Azure Event Hubs
• Azure Managed Disks
• Power BI

Eine vollständige Liste der Dienste, die Verschlüsselung mit kundenseitig verwalteten Schlüsseln anbieten, finden Sie auf der Dokumentationsseite zur Azure-Datenverschlüsselung ruhender Daten.

Neue Azure-Richtlinien zum Verwalten von Zertifikaten in Ihrer Organisation derzeit in der Vorschauphase

Große Organisationen verfügen über Tausende Zertifikate in Schlüsseltresoren, die über Tausende Anwendungen und Abonnements verteilt sind. Wenn Sie für die Sicherheit und Compliance in der Organisation verantwortlich sind, benötigen Sie eine einfache Möglichkeit, Regeln für alle diese Zertifikate festzulegen, das Befolgen dieser Regeln nachzuweisen und Verletzungen festzuhalten. Azure Policy hilft bei diesen Aufgaben. Wir haben neue Richtlinien für Zertifikate in Azure Key Vault in der Vorschauphase hinzugefügt.

• Ausstellerrichtlinie: Kennzeichnet Zertifikate, die von einem bestimmten Aussteller ausgestellt (oder nicht ausgestellt) wurden.
• Schlüsseltyprichtlinie: Kennzeichnet Zertifikate, die von einem RSA- oder ECC-Schlüsselpaar geschützt (oder nicht geschützt) sind.
• Schlüsselgrößenrichtlinie: Kennzeichnet Zertifikate, die von einem Schlüssel einer bestimmten Größe geschützt (oder nicht geschützt) sind.
• Ablaufrichtlinie: Kennzeichnet Zertifikate, die innerhalb von X Tagen vor dem Ablaufdatum erneuert (oder nicht erneuert) wurden.
• Gültigkeitslebensdauer-Richtlinie: Kennzeichnet Zertifikate, die eine Gültigkeitslebensdauer unter, über oder gleich X Jahren aufweisen (oder nicht aufweisen).

Weitere Informationen finden Sie in der Dokumentation für Azure Key Vault-Governancerichtlinien.

Azure Key Vault-Erweiterung für virtuelle Computer jetzt allgemein verfügbar

Die Azure Key Vault-Erweiterung für virtuelle Computer vereinfacht es Apps, die auf virtuellen Computern ausgeführt werden, Zertifikate aus einem Schlüsseltresor zu verwenden, indem allgemeine Aufgaben sowie bewährte Methoden abstrahiert werden: Authentifizieren, Behandeln häufiger Netzwerkfehler, regelmäßiges Aktualisieren des Zertifikats aus dem Schlüsseltresor und Binden der Zertifikate für TLS (Transport Layer Security).

Diese Erweiterung ist nun für Windows und Linux allgemein verfügbar.

Kostenlose von Azure verwaltete Zertifikate für Ihre Domänen in Azure

Wir möchten sicherstellen, dass es keinen Grund gibt, in Ihren Azure-Anwendungen auf TLS zu verzichten. Azure stellt jetzt TLS-Zertifikate kostenlos für Ihre in den folgenden Diensten gehosteten Domänen bereit. Azure erneuert diese Zertifikate automatisch.

• Von Azure CDN verwaltete Zertifikate (allgemein verfügbar)
• Von Azure Front Door verwaltete Zertifikate (allgemein verfügbar)
• Von Azure App Service verwaltete Zertifikate sowohl für Web-Apps als auch für Funktionen (derzeit in der Vorschauphase)

Wir werden dieses Angebot in der Zukunft auf weitere Azure-PaaS-Dienste ausweiten.

Beachten Sie, dass dies nur eine Ihrer Optionen ist. Wenn Sie Zertifikate von einer anderen Zertifizierungsstelle (Certificate Authority, CA) verwenden müssen, können Sie diese Azure-Dienste für die Verwendung eines Zertifikats konfigurieren, das Sie in Ihrem Schlüsseltresor verwalten.

Weitere Informationen

Azure bietet mit diesen Neuzugängen weiterhin ein sicheres Fundament sowie integrierte Sicherheitstools und intelligente Erkenntnisse, sodass Sie Ihren Sicherheitsstatus in der Cloud schnell verbessern können. Azure Security Center verstärkt seine Rolle als einheitliche Sicherheitsverwaltung und erweiterte Lösung für Bedrohungsschutz für Ihre Hybrid Cloud.

Für Azure-App-Entwickler:

• Verwenden Sie das Toolkit für die Microsoft-Sicherheitscodeanalyse, um Ihren Code auf Sicherheitsprobleme zu untersuchen.
• Aktivieren Sie TLS für Ihre Ressourcen in Azure CDN, Front Door und App Service (Web-Apps und Funktionen).
• Testen Sie unsere neue Azure Virtual Machines-Erweiterung für Azure Key Vault, um die Nutzung von Zertifikaten aus Azure Key Vault (für Windows und Linux) in Ihrer App zu vereinfachen.

Für Benutzer, die für die Sicherheit in ihrer Organisation verantwortlich sind:

• Testen Sie Azure Policy, einschließlich der neuen Key Vault-Richtlinien, um sicherzustellen, dass Entwickler in Ihrer Organisation die von Ihnen für Sicherheit und Compliance eingerichteten Regeln befolgen.

Sicherheit kann nicht warten. Beginnen Sie noch heute mit Azure Security Center, und besuchen Sie die technische Community von Azure Security Center, wo Sie sich mit anderen sicherheitsbewussten Benutzern austauschen können.

Azure. Erfinden mit dem Ziel im Blick.