An diesem Blogbeitrag hat Eliran Azulai (Principal Program Manager) mitgewirkt.

Angesichts des beschleunigten Tempos der digitalen Transformation seit dem Durchbruch der COVID-19-Pandemie sind Unternehmen ständig bestrebt, ihre Arbeitslasten in die Cloud zu verlagern und deren Sicherheit zu gewährleisten. Darüber hinaus benötigen Organisationen ein neues Sicherheitsmodell, das sich besser an die Komplexität der modernen Umgebung anpasst, den hybriden Arbeitsplatz einbezieht und Anwendungen und Daten unabhängig vom Standort schützt.

Das Zero Trust Framework von Microsoft schützt Ressourcen überall, indem es drei Prinzipien befolgt:

1. Explizit verifizieren: Führen Sie stets eine Authentifizierung und Autorisierung basierend auf allen verfügbaren Datenpunkten durch, einschließlich Benutzeridentität, Standort, Gerät, Dienst oder Workload, Datenklassifizierung und Anomalien.
2. Mit geringstmögliche Zugriffsberechtigungen arbeiten: Beschränken Sie den Benutzerzugriff mittels Just-In-Time und Just-Enough Access (JIT/JEA), risikobasierter adaptiver Richtlinien und Schutz von Daten, um sowohl Daten als auch Produktivität abzusichern.
3. Annahme einer Sicherheitsverletzung: Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern.

In diesem Blogbeitrag werden wir einige Azure-Netzwerksicherheitsdienste beschreiben, die Organisationen helfen, Zero Trust zu erreichen, wobei wir uns auf den dritten Grundsatz konzentrieren – die Annahme einer Sicherheitsverletzung.

Netzwerkfirewalls

Netzwerkfirewalls werden in der Regel in den Edgenetzwerken bereitgestellt. Sie filtern den Datenverkehr zwischen vertrauenswürdigen und nicht vertrauenswürdigen Zonen. Der Zero Trust-Ansatz erweitert dieses Modell und empfiehlt das Filtern des Datenverkehrs zwischen internen Netzwerken, Hosts und Anwendungen.

Der Zero Trust-Ansatz geht von einer Sicherheitsverletzung aus und akzeptiert die Realität, dass sich "Bad Actors" überall befinden. Anstatt eine Mauer zwischen vertrauenswürdigen und nicht vertrauenswürdigen Zonen zu errichten, empfiehlt dieser Ansatz, alle Zugriffsversuche zu überprüfen, den Benutzerzugriff auf JIT und JEA zu beschränken und die Ressourcen selbst unangreifbarer zu machen. Das schließt jedoch nicht aus, dass wir Sicherheitszonen einrichten. Die Netzwerkfirewall bietet eine Art von Kontrollmechanismen für die Netzwerkkommunikation, indem sie das Netzwerk in kleinere Zonen unterteilt und kontrolliert, welcher Datenverkehr zwischen diesen Zonen fließen darf. Diese Praxis der Sicherheit in der Tiefe zwingt uns zu überlegen, ob eine bestimmte Verbindung eine sensible Grenze überschreiten sollte.

Wo sollten Firewalls in Zero Trust-Netzwerken eingesetzt werden? Da Ihr Netzwerk von Natur aus verwundbar ist, sollten Sie eine Firewall auf der Hostebene und außerhalb des Netzwerks implementieren. In Azure bieten wir Filter- und Firewalldienste an, die an verschiedenen Netzwerkstandorten eingesetzt werden: auf dem Host und zwischen virtuellen Netzwerken oder Subnetzen. Lassen Sie uns besprechen, wie die Firewalldienste von Azure Zero Trust unterstützen.

Azure-Netzwerksicherheitsgruppe (NSG)

Sie können eine Azure-Netzwerksicherheitsgruppe verwenden, um Netzwerkdatenverkehr von und zu Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. NSG wird auf der Hostebene implementiert, außerhalb der virtuellen Computer (VMs). Was die Benutzerkonfiguration betrifft, so kann die NSG einem Subnetz oder einer VM-NIC zugeordnet werden. Das Zuordnen einer NSG zu einem Subnetz ist eine Form der Perimeterfilterung, die wir später erörtern werden. Die relevantere Anwendung der NSG im Kontext von Zero Trust-Netzwerken ist einer bestimmten VM zugeordnet (z. B. durch Zuweisen einer NSG zu einer VM-NIC). Sie unterstützt Filterrichtlinien pro VM, wodurch die VM zu einem Teilnehmer an ihrer eigenen Sicherheit wird. Damit soll sichergestellt werden, dass jede VM ihren eigenen Netzwerkverkehr filtert, anstatt die gesamte Firewall an eine zentralisierte Firewall zu delegieren.

Während Hostfirewalls auf der Ebene des Gastbetriebssystems implementiert werden können, schützt Azure NSG vor einer VM, die kompromittiert wird. Ein Angreifer, der Zugriff auf die VM erhält und seine Berechtigungen erhöht, könnte die Firewall auf dem Host entfernen. Die NSG wird außerhalb der VM implementiert und dient zum Isolieren der Filterung auf Hostebene, was starke Garantien gegen Angriffe auf das Firewallsystem bietet.

Eingehende und ausgehende Filterung

Die NSG bietet sowohl eingehende Filterung (Regulierung des in einer VM eingehenden Datenverkehrs) als auch ausgehende Filterung (Regulierung des Datenverkehrs, der ein VM verlässt). Die ausgehende Filterung, insbesondere zwischen Ressourcen im VNet, spielt in Zero Trust-Netzwerken eine wichtige Rolle, um die Workloads weiter abzusichern. Eine Fehlkonfiguration der NSG-Regeln für eingehende Daten kann zum Beispiel dazu führen, dass diese wichtige Verteidigungsschicht für eingehende Daten, die sehr schwer zu entdecken ist, nicht mehr funktioniert. Die durchgängige NSG-Ausgangsfilterung schützt Subnetze auch dann, wenn eine solche kritische Fehlkonfiguration auftritt.

Vereinfachung der NSG-Konfiguration mit Azure-Anwendungssicherheitsgruppen

Azure-Anwendungssicherheitsgruppen (ASGs) vereinfachen die Konfiguration und Verwaltung von NSGs, indem sie die Konfiguration der Netzwerksicherheit als Erweiterung der Anwendungsstruktur ermöglichen. Anhand von ASGs können Sie VMs gruppieren und Netzwerksicherheitsrichtlinien definieren. Sie können mit ASGs Ihre Netzwerksicherheit nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen. In dem folgenden vereinfachten Beispiel wenden wir eine NSG1 auf Subnetzebene an und ordnen zwei VMs einer WebASG (ASG der Web-Anwendungsebene) und eine weitere VM einer LogicASG (ASG der Businesslogik-Anwendungsebene) zu.

Wir können Sicherheitsregeln auf ASGs statt auf jede einzelne VM anwenden. Die folgende Regel lässt beispielsweise HTTP-Datenverkehr aus dem Internet (TCP-Port 80) zu VM1 und VM2 in der Web-Anwendungsebene zu, indem die WebASG als Ziel angegeben wird, anstatt eine separate Regel für jede einzelne VM zu erstellen.

Priorität	Quelle	Quellports	Ziel	Zielports	Protokoll	Zugriff
100	Internet	*	WebASG	80	TCP	Zulassen

Azure Firewall

Während die Filterung auf Hostebene ideal für die Schaffung von Mikroperimetern ist, bietet die Firewall auf der Ebene des virtuellen Netzwerks oder Subnetzes eine weitere wichtige Schutzebene. Sie schützt so viel Infrastruktur wie möglich vor nicht autorisiertem Datenverkehr und potenziellen Angriffen aus dem Internet. Außerdem dient sie zum Schutz des Ost-West-Datenverkehrs, um den Auswirkungsgrad bei Angriffen zu minimieren.

Azure Firewall ist ein nativer Netzwerksicherheitsdienst für Firewalls. Diese beiden Dienste, die zusammen mit der NSG implementiert werden, stellen wichtige Kontrollmechanismen in Zero Trust-Netzwerken dar. Azure Firewall implementiert globale Regeln und eine grobe Hostrichtlinie, während die NSG eine differenzierte Richtlinie definiert. Diese Trennung von Perimeter- und Hostfilterung kann die Verwaltung der Firewallrichtlinie vereinfachen.

Als Best Practice beim Zero Trust Modell gilt es, Daten während der Übertragung immer zu verschlüsseln, um eine End-to-End-Verschlüsselung zu erreichen. Aus betrieblicher Sicht möchten die Kunden jedoch häufig Transparenz über ihre Daten haben und zusätzliche Sicherheitsdienste auf die unverschlüsselten Daten anwenden.

Azure Firewall Premium kann mit der TLS-Überprüfung (Transport Layer Security) eine vollständige Entschlüsselung und Verschlüsselung des Datenverkehrs durchführen, was die Möglichkeit bietet, Angriffserkennungs- und -schutzsysteme (IDPS) zu nutzen und den Kunden Transparenz über die Daten selbst zu bieten.

DDoS Protection

Zero Trust versucht, fast alles im Netzwerk zu authentifizieren und zu autorisieren. Es bietet jedoch keinen guten Schutz gegen DDoS-Angriffe, insbesondere bei volumetrischen Angriffen. Jedes System, das Pakete empfangen kann, ist anfällig für DDoS-Angriffe, selbst solche, die eine Zero Trust-Architektur verwenden. Daher ist es zwingend erforderlich, dass jede Zero Trust-Implementierung vollständig vor DDoS-Angriffen geschützt ist.

Azure DDoS Protection Standard verfügt über erweiterte Risikominderungsfunktionen als Schutz vor DDoS-Angriffen. Er wird automatisch optimiert, um alle mit dem Internet verbundenen Ressourcen in einem virtuellen Netzwerk zu schützen. Der Schutz kann einfach in jedem neuen oder vorhandenen virtuellen Netzwerk aktiviert werden und erfordert keine Änderung bei Anwendungen oder Ressourcen.

Optimieren Sie SecOps mit Azure Firewall Manager

Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst, der eine zentrale Sicherheitsrichtlinien- und Routenverwaltung für cloudbasierte Sicherheitsperimeter bereitstellt.

Zusätzlich zur Azure Firewal-Richtlinienverwaltung ermöglicht Azure Firewall Manager Ihnen jetzt, Ihre virtuellen Netzwerke einem DDoS-Schutzplan zuzuordnen. In einem einzelnen Mandanten können DDoS-Schutzpläne auf virtuelle Netzwerke in mehreren Abonnements angewendet werden. Mithilfe des Dashboards für virtuelle Netzwerke können Sie alle virtuellen Netzwerke auflisten, die über keinen DDoS-Schutzplan verfügen, und ihnen neue oder verfügbare Schutzpläne zuweisen.

Mit Azure Firewall Manager können Sie darüber hinaus vertraute, führende SECaaS-Angebote (Security-as-a-Service) von Drittanbietern verwenden, um den Internetzugriff für Ihre Benutzer zu schützen.

Durch die nahtlose Integration mit den zentralen Azure-Sicherheitsdiensten wie Microsoft Defender for Cloud, Microsoft Sentinel und Azure Log Analytics können Sie Ihre SecOps weiter optimieren, indem Sie aus einer Hand die besten Netzwerksicherheitsdienste, Statusverwaltung und Workloadschutz sowie SIEM und Datenanalysen erhalten.

Wie geht es weiter?

Zero Trust ist ein Muss für Organisationen, die alles schützen wollen, wie es ist. Es ist eine fortlaufende Reise für Sicherheitsexperten, aber der Einstieg beginnt mit einigen ersten Schritten und kontinuierlichen, iterativen Verbesserungen. In diesem Blogbeitrag haben wir verschiedene Azure-Sicherheitsdienste beschrieben und gezeigt, wie sie die Reise hin zu Zero Trust für alle Organisationen ermöglichen.

Weitere Informationen zu diesen Diensten finden Sie in den folgenden Ressourcen:

• Zero Trust Framework.
• Azure-Netzwerksicherheitsgruppen.
• Azure-Anwendungssicherheitsgruppen.
• Azure Firewall.
• Azure Firewall Manager.
• Azure DDoS Protection Standard.