Neue Sicherheitsfunktionen für Azure

Veröffentlicht am 3 April, 2019

Principal Group PM Manager, Azure Security Center

Dieser Blogbeitrag wurde von Ron Matchoro, Principal Program Manager, Ronit Reger, Senior Program Manager, Miri Landau, Senior Program Manager, und Devendra Tiwari, Principal PM Manager, Azure Security Center, mitverfasst.

Da immer mehr Organisationen Innovationen immer schneller durch das Verlegen ihrer Geschäfte in die Cloud vorantreiben, spielt die Sicherheit eine zunehmend wichtigere Rolle für die Branche. Azure verfügt über integrierte Kontrollen für Daten, Anwendungen, Computing, Netzwerke, Identitäten, den Schutz vor Bedrohungen und die Sicherheitsverwaltung, mit denen Sie den Schutz besser anpassen und Partnerlösungen integrieren können. 

Wir investieren weiter in Ihre Sicherheit und freuen uns schon, diese Woche auf der Hannover Messe 2019 aufregende Neuigkeiten mit Ihnen teilen zu können. Außerdem sind wir stolz, den Dedicated HMS-Dienst (Hardware Security Module) in Großbritannien, Kanada und Australien sowie die Unterstützung von Azure Disk Encryption für Virtual Machine Scale Sets (VMSS) als allgemein verfügbar bekannt geben zu können. Darüber hinaus sind Advanced Threat Protection für Azure Storage, das Dashboard zur Einhaltung gesetzlicher Bestimmungen und die Unterstützung von VM-Skalierungsgruppen nun als Teil von Azure Security Center allgemein verfügbar.

Advanced Threat Protection für Azure Storage jetzt allgemein verfügbar

Advanced Threat Protection für Azure Storage hilft Kunden beim Erkennen und Beheben von potenziellen Bedrohungen in ihrem Speicherkonto. Dieser zusätzliche Sicherheitsebene bietet Ihnen einen besseren Schutz und hilft Ihnen beim Beheben von Problemen, ohne dazu ein Sicherheitsexperte sein zu müssen. Die Aktivierung geht ganz einfach und schnell. Nach der Aktivierung werden Sicherheitswarnungen ausgelöst, wenn verdächtige Aktivitäten auftreten, die dann in Azure Security Center als Liste angezeigt werden. Sicherheitswarnungen enthalten Details zu verdächtigen Aktivitäten, die entdeckt wurden, sowie Empfehlungen, wie die potenzielle Bedrohung untersucht und abgewendet werden kann.

Advanced Threat Protection für Azure Storage bietet folgende Vorteile:

  • Erkennung abweichender Zugriffe und Aktivitäten zur Datenexfiltration
  • E-Mail-Warnungen mit Schritten zur Untersuchung und Beseitigung
  • Zentralisierte Ansichten von Warnungen für den gesamten Azure-Mandanten mit Azure Security Center
  • Einfache Aktivierung für viele Speicherkonten mit dem Azure-Portal, Azure Policy oder Standard-Azure-APIs

Weitere Informationen finden Sie in der Dokumentation „Advanced Threat Protection für Azure Storage“ und auf der Preisseite von Azure Security Center.

Dashboard zur Einhaltung gesetzlicher Bestimmungen in Azure Security Center allgemein verfügbar

Wir freuen uns, bekannt geben zu können, dass das Dashboard zur Einhaltung gesetzlicher Bestimmungen jetzt in Azure Security Center allgemein verfügbar ist. Das Dashboard hilft Kunden von Security Center bei der Optimierung ihrer Complianceabläufe, indem es Erkenntnisse zu ihrer Compliancesituation im Hinblick auf einen Satz unterstützter Standards und Bestimmungen bereitstellt.

Das Compliance-Dashboard zeigt Bewertungen der Sicherheit und Empfehlungen an, die sich auf die Einhaltung bestimmter Complianceanforderungen aus den fortlaufenden Bewertungen Ihrer Azure- und Hybridumgebungen beziehen. Darüber hinaus stellt das Dashboard Informationen zu empfohlenen Aktionen bereit, mit denen Risikofaktoren in Ihrer Umgebung reduziert werden können, um Ihren allgemeinen Compliancestatus zu verbessern.

Dashboard zur Einhaltung gesetzlicher Bestimmungen in Azure Security Center

Die vom Dashboard zur Einhaltung gesetzlicher Bestimmungen bereitgestellten Informationen können als Nachweise für interne und externe Prüfer für Ihren Compliancestatus im Zusammenhang mit den unterstützten Standards verwendet werden. Zur weiteren Nutzung können Sie nun einfach direkt im Compliance-Dashboard einen Compliancebericht generieren und herunterladen. Der Bericht kann für einen bestimmten unterstützten Compliancestandard erstellt werden. Er enthält eine allgemeine Zusammenfassung Ihres derzeitigen Compliancestatus im Hinblick auf den jeweiligen Standard. Darüber hinaus können Sie nun auch Complianceprozesse automatisieren und in großem Umfang mithilfe programmgesteuerter APIs verwalten.

Weitere Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Security Center finden Sie unter „Tutorial: Verbessern der Einhaltung gesetzlicher Vorschriften“.

Azure Security Center unterstützt jetzt Virtual Machine Scale Sets.

Security Center kann nun Ihre VM-Skalierungsgruppen schützen. Sie können nun ganz einfach den Sicherheitsstatus Ihrer VM-Skalierungsgruppen überwachen und Sicherheitsempfehlungen zur Verbesserung der allgemeinen Sicherheit, zur Reduzierung von Sicherheitsrisiken und zur Erkennung von Bedrohungen mit den erweiterten Funktionen zur Bedrohungserkennung von Security Center umsetzen.

Security Center erkennt automatisch Ihre VM-Skalierungsgruppen und empfiehlt Ihnen die Installation des Überwachungs-Agents, mit dem Sie Ihre Sicherheit noch besser bewerten und eine ereignisgesteuerte Bedrohungserkennung nutzen können.

Security Center erkennt automatisch Ihre VM-Skalierungsgruppen und empfiehlt Ihnen die Installation des Überwachungs-Agents.

Sie können die Sicherheitsintegrität sowie Empfehlungen für jede VM-Skalierungsgruppe anzeigen: Sicherheitsintegrität und Empfehlungen für jede VM-Skalierungsgruppe

Sie können bei jeder VM-Skalierungsgruppe von einer ganzen Reihe von Empfehlungen profitieren:

  • Installieren des Überwachungs-Agents 
  • Beseitigen von Sicherheitsrisiken in der Sicherheitskonfiguration 
  • Beseitigen von Endpoint Protection-Integritätsfehlern 
  • Installieren einer Endpoint Protection-Lösung für VM-Skalierungsgruppen
  • Installieren von Systemupdates 
  • Aktivieren von Diagnoseprotokollen in Virtual Machine Scale Sets

Warnungen der Bedrohungserkennung stehen auch für Instanzen von VM-Skalierungsgruppen für sämtliche VMs zur Verfügung, die über den Standard-Tarif von Security Center geschützt sind. Erfahren Sie mehr über die Unterstützung von VM-Skalierungsgruppen.

Hinweis: Die Preise für VM-Skalierungsgruppen sind dieselben wie für VMs. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht.

Ankündigung der Verfügbarkeit des Azure Dedicated HSM-Diensts in den Regionen in Großbritannien, Kanada und Australien

Der Dedicated HSM-Dienst (dedizierte Hardwaresicherheitsmodule) von Azure bietet kryptografische Schlüsselspeicherung in Azure und erfüllt die strengsten Sicherheits- und Complianceanforderungen von Kunden. Dieser Dienst ist die ideale Lösung für Kunden, die Geräte mit der Zertifizierung „FIPS 140-2 Level 3“ verwenden und die vollständige sowie uneingeschränkte Kontrolle über die HSM-Appliance wünschen. Der Dedicated HSM-Dienst verwendet SafeNet Luna Network HSM 7-Geräte von Gemalto. Dieses Gerät bietet ein Höchstmaß an Leistung und kryptographische Integrationsoptionen. Außerdem erleichtert es Ihnen, durch HSM geschützte Anwendungen zu Azure zu migrieren. Das dedizierte Azure-HSM wird auf Basis eines einzelnen Mandanten geleast.

Der Azure-Dienst Dedicated HSM wurde am 28. November 2018 zunächst in acht öffentlichen Azure-Regionen bekannt gegeben. Wir freuen uns, nun bekannt geben zu können, dass der Dienst auf Großbritannien, Kanada und Australien ausgeweitet wurde. Mit dieser Ankündigung ist der Dedicated HSM-Dienst nun in 14 Regionen verfügbar: „USA, Osten“, „USA, Westen“, „USA, Süden-Mitte“, „USA, Osten 2“, „Asien, Südosten“, „Asien, Osten“, „Europa, Westen“, „Europa, Norden“, „Vereinigtes Königreich, Süden“, „Vereinigtes Königreich, Westen“, „Kanada, Mitte“, „Kanada, Osten“, „Australien, Osten“ und „Australien, Südwesten“. Es ist geplant, diesen Dienst auf weitere Azure-Regionen auszudehnen.

Azure Dedicated HSM

  • Weitere Informationen zur Ankündigung des Dedicated HSM-Diensts finden Sie im Blogbeitrag Verfügbarkeit dedizierter Azure-HSMs.
  • Weitere Informationen zu dedizierten Azure-HSMs finden Sie in der Dienstdokumentation.
  • Für weitere Informationen zu den Preisen des Diensts und der Kompatibilität mit Ihren Anwendungen wenden Sie sich an Ihren Microsoft-Kundenbetreuer.

Ankündigung der allgemeinen Verfügbarkeit von Azure Disk Encryption für Virtual Machine Scale Sets

Wir freuen uns, heute die allgemeine Verfügbarkeit von Azure Disk Encryption (ADE) für Virtual Machine Scale Sets (VMSS) bekannt geben zu können. Mit dieser Ankündigung kann Azure Disk Encryption für VM-Skalierungsgruppen unter Windows und Linux in öffentlichen Azure-Regionen aktiviert werden. Damit können Kunden die ruhenden Daten von Virtual Machine Scale Sets mit einer Verschlüsselungstechnologie nach Industriestandard schützen.

Azure Disk Encryption ist eine Funktion, mit der Sie die Datenträger von Windows- und Linux-Datenträgern in Virtual Machine Scale Sets verschlüsseln können. Disk Encryption nutzt das Branchenstandardfeature BitLocker von Windows und das Feature DM-Crypt von Linux, um Volumeverschlüsselung für die Datenträger bereitzustellen. Die Lösung ist in Azure Key Vault integriert, um Ihnen die Steuerung und Verwaltung der Schlüssel und Geheimnisse für die Datenträgerverschlüsselung zu erleichtern. Diese Lösung stellt außerdem sicher, dass alle ruhenden Daten auf den VM-Datenträgern in Azure Storage verschlüsselt sind.

Die Lösung wird in allen öffentlichen Azure-Regionen bereitgestellt. Weitere Einzelheiten zu unterstützten und nicht unterstützten Szenarien und Schnittstellen sowie zur Verwendung der Technologie zur Datenträgerverschlüsselung für Ihre VM-Skalierungsgruppen und zur Validierung Ihrer Szenarien finden Sie weiter unten.

Unterstützte Szenarien

  1. Die Virtual Machine Scale Sets-Verschlüsselung wird nur für Skalierungsgruppen unterstützt, die mit verwalteten Datenträgern erstellt wurden, nicht für native (oder nicht verwaltete) Datenträger-Skalierungsgruppen.
  2. Die Virtual Machine Scale Sets-Verschlüsselung wird bei Betriebssystem- und Datenvolumes für Windows-VM-Skalierungsgruppen unterstützt.
  3. Die Deaktivierung der Verschlüsselung wird bei Betriebssystem- und Datenvolumes für Windows-VM-Skalierungsgruppen unterstützt.
  4. Die Virtual Machine Scale Sets-Verschlüsselung wird bei Datenvolumes für Linux-VM-Skalierungsgruppen unterstützt. Das Deaktivieren der Verschlüsselung wird bei Datenvolumes für Linux-VM-Skalierungsgruppen unterstützt.
  5. Reimaging- und Upgradevorgänge von VM-Skalierungsgruppen werden unterstützt.
  6. Der Schlüsseltresor für die Verschlüsselung muss mit den richtigen Zugriffsrichtlinien im selben Abonnement und derselben Region wie die VM-Skalierungsgruppen bereitgestellt werden.

Nicht unterstützte Szenarien

  1. Die Virtual Machine Scale Sets-Verschlüsselung wird nicht für Skalierungsgruppen unterstützt, die mit nativen (oder nicht verwalteten) Datenträgern erstellt wurden.
  2. Die Virtual Machine Scale Sets-Verschlüsselung wird nicht bei Betriebssystemvolumes für Linux-VM-Skalierungsgruppen unterstützt.

Weitere Einzelheiten zur Azure Disk Encryption-Unterstützung für Virtual Machine Scale Sets finden Sie in der folgenden ADE-Dokumentation:

Durch unsere fortlaufenden Verbesserungen an der Sicherheit in Azure können Sie die Kosten und Komplexität mit einem höchst sicheren, von Microsoft verwalteten Cloudfundament reduzieren. Nutzen Sie einmalige Einblicke zu Bedrohungen und integrierte Sicherheitssteuerungen auf mehreren Ebenen von Azure, um neue Bedrohungen schnell zu erkennen und sich davor zu schützen. Weitere Informationen zur Azure-Sicherheit finden Sie auf der Homepage zur Azure-Sicherheit. Wenn Sie die neuen Funktionen von Azure Security Center ausprobieren möchten, besuchen Sie die Azure Security Center-Homepage. Wie immer freuen wir uns über Feedback. Wenn Sie weitere Informationen benötigen, kontaktieren Sie unser Team unter SecurityCenter@microsoft.com.

Erfahren Sie auf der Hannover Messe 2019, wie Microsoft-Partner eine nachhaltige Zukunft aufbauen.