Ein-Klick-Wartung in Azure Security Center und Azure Firewall-JIT-Unterstützung

Veröffentlicht am 20 August, 2019

Senior Program Manager, Azure Security Center

Rotem Lurie, Program Manager bei Azure Security Center, ist Mitverfasser dieses Blogbeitrags.

Mit Azure Security Center erhalten Sie eine sehr gute Übersicht über den Sicherheitsstatus Ihrer Azure-Umgebung, sodass Sie die Sicherheit fortlaufend überwachen und anhand der Sicherheitsbewertung in Azure verbessern können. Sie erhalten mit Security Center Unterstützung beim Identifizieren und Durchführen von Aufgaben, die als bewährte Sicherheitsmethoden empfohlen werden, und können sie dann für Ihre Computer, Datendienste und Apps implementieren. Dies umfasst auch die Verwaltung und Durchsetzung Ihrer Sicherheitsrichtlinien sowie die Sicherstellung, dass Ihre virtuellen Azure-Computer, Azure-externen Server und Azure-PaaS-Dienste konform sind.

Heute geben wir zwei neue Funktionen bekannt: die Vorschauversion für Wartungsempfehlungen für einen Ressourcenstapel mit nur einem Klick anhand der Sicherheitsbewertung sowie die allgemeine Verfügbarkeit (General Availability, GA) des Just-In-Time-Zugriffs (JIT) auf virtuelle Computer (VM) für Azure Firewall. Sie können nun zusätzlich zu Ihren durch Netzwerksicherheitsgruppen (NSG) geschützten Umgebungen Ihre durch Azure Firewall geschützten Umgebungen mit JIT schützen.

Ein-Klick-Wartung für Ressourcenstapel in der Vorschau

Bei so vielen Diensten, die Sicherheitsvorteile bieten, ist es oft schwierig zu wissen, welche Schritte zum Schützen und Härten Ihrer Workload zuerst ausgeführt werden sollten. Für die Sicherheitsbewertung in Azure werden Ihre Sicherheitsempfehlungen überprüft und für Sie priorisiert, damit Sie wissen, welche Empfehlungen Sie zuerst umsetzen sollten. Dies hilft Ihnen, die schwerwiegendsten Sicherheitsrisiken zu finden, damit Sie die Untersuchung priorisieren können. Die Sicherheitsbewertung ist ein Tool, mit dem Sie den Sicherheitsstatus Ihrer Workload bewerten können.

Zur Vereinfachung der Wartung von Fehlkonfigurationen bei der Sicherheit und für eine schnelle Verbesserung Ihrer Sicherheitsbewertung führen wir außerdem eine neue Funktion ein, mit der Sie einzelne Empfehlungen mit nur einem Klick für einen ganzen Stapel von Ressourcen ausführen können.

Mit dieser Vorgehensweise können Sie die Ressourcen auswählen, auf die Sie die Wartung anwenden möchten, und dann die Wartungsaktion starten. Die Konfiguration erfolgt automatisch, ohne dass Sie eingreifen müssen. Die Ein-Klick-Wartung steht ab heute für Vorschaukunden auf dem Blatt mit Empfehlungen in Security Center zur Verfügung.

Suchen Sie einfach nach der Bezeichnung 1-Klick-Korrektur neben einer Empfehlung, und klicken Sie auf diese Empfehlung:

Blatt „Empfehlungen“ in Azure Security Center

Nachdem Sie die Ressourcen, auf die Sie die Wartung anwenden möchten, und dann Wartung ausführen ausgewählt haben, wird die Wartung durchgeführt. Anschließend werden die entsprechenden Ressourcen auf die Registerkarte Fehlerfreie Ressourcen verschoben. Die Wartungsaktionen werden im Aktivitätsprotokoll erfasst, damit Sie im Fall eines Fehlers zusätzliche Details abrufen können.

Aktivieren der Überwachung für SQL Server in Azure Security Center

Die Wartung ist in der Vorschauversion für die folgenden Empfehlungen verfügbar:

  • Zugriff auf Web-Apps, Funktions-Apps und API-Apps nur über HTTPS zulassen
  • Remotedebuggen für Funktions-Apps, Web-Apps und API-Apps deaktivieren
  • Nicht jeder Ressource den Zugriff auf Ihre Funktions-Apps, Web-Apps oder API-Apps über CORS gewähren
  • Sichere Übertragung in Speicherkonten aktivieren
  • Transparent Data Encryption für Azure SQL-Datenbank aktivieren
  • Überwachungs-Agent auf virtuellen Computern installieren
  • Diagnoseprotokolle in Azure Key Vault und Azure Service Bus aktivieren
  • Diagnoseprotokolle in Service Bus aktivieren
  • Die Bewertung von Sicherheitsrisiken sollte auf allen SQL Server-Instanzen aktiviert sein.
  • Advanced Data Security muss für Ihre SQL Server-Instanzen aktiviert werden.
  • Bewertung von Sicherheitsrisiken auf verwalteten SQL-Instanzen aktivieren
  • Advanced Data Security auf verwalteten SQL-Instanzen aktivieren

Die Ein-Klick-Wartung ist im Free-Tarif von Azure Security Center enthalten.

Just-In-Time-Zugriff auf virtuelle Computer für Azure Firewall allgemein verfügbar

Bekanntgabe der allgemeinen Verfügbarkeit des Just-In-Time-Zugriffs auf virtuelle Computer für Azure Firewall. Sie können nun zusätzlich zu Ihren durch Netzwerksicherheitsgruppen (NSG) geschützten Umgebungen Ihre durch Azure Firewall geschützten Umgebungen mit JIT schützen.

Durch den JIT-VM-Zugriff sind Ihre VMs besser vor volumetrischen Netzwerkangriffen geschützt, da mit dieser Steuerung nur der wirklich erforderliche Zugriff auf Ihre VMs gewährt wird und dabei Ihre NSG- und Azure Firewall-Regeln angewandt werden.

Beim Aktivieren von JIT für Ihre VMs erstellen Sie eine Richtlinie, die festlegt, welche Ports geschützt werden sollen, wie lange die Ports geöffnet sein sollen und von welchen genehmigten IP-Adressen aus auf diese Ports zugegriffen werden kann. Mit dieser Richtlinie behalten Sie volle Kontrolle darüber, was Ihre Benutzer ausführen dürfen, wenn sie Zugriff anfordern.

Anforderungen werden im Aktivitätsprotokoll erfasst, sodass Sie den Zugriff ganz einfach überwachen und überprüfen können. Außerdem können Sie auf dem JIT-Blatt sehr schnell ermitteln, auf welchen vorhandenen virtuellen Computern JIT aktiviert ist und auf welchen JIT empfohlen wird.

Azure Security Center zeigt Ihre letzten genehmigten Anforderungen an. Auf der Registerkarte mit den konfigurierten VMs werden der letzte Benutzer, die Uhrzeit und die offenen Ports für die zuvor genehmigten JIT-Anforderungen angezeigt. Wenn ein Benutzer eine JIT-Anforderung für eine durch Azure Firewall geschützte VM erstellt, stellt Security Center dem Benutzer die korrekten Verbindungsdetails zu Ihrem virtuellen Computer bereit, die direkt aus Ihrer Azure Firewall-DNAT (Destination Network Address Translation) übersetzt werden.

Konfigurierte virtuelle Computer in Azure Security Center

Dieses Feature ist im Standard-Tarif von Security Center verfügbar, den Sie die ersten 30 Tage lang kostenlos testen können.

Weitere Informationen zu diesen Features in Security Center finden Sie unter Umsetzen von Empfehlungen in Azure Security Center sowie in der Dokumentation zum Just-In-Time-Zugriff auf VMs und der Azure Firewall-Dokumentation. Wenn Sie mehr über Azure Security Center erfahren möchten, besuchen Sie die Azure Security Center-Homepage.