TECH-Gespräch: Sicherheits-Best-Practices für IaaS-Arbeitslasten in Azure

Autor: Stefan Gajic, Leiter für Cloud und Infrastruktur bei der P3-Gruppe, MCT bei Semos Education

 

In diesem Blog werden wir über die wichtigsten bewährten Sicherheitsverfahren zum Schutz Ihres IaaS berichten. Dies wird ein Teaser für diejenigen sein, die mit diesen Methoden nicht vertraut sind, damit sie anfangen können, über Sicherheit in Azure, nachzudenken und zu lernen, und für diejenigen von Ihnen, die bereits einige dieser Sicherheitsmerkmale implementieren, eine Erinnerung daran, dies weiterhin zu tun oder der Sicherheit von IaaS noch mehr Aufmerksamkeit zu schenken.

Denken Sie daran, dass die Sicherheit in Azure gemeinsamer Verantwortung liegt und wir dafür verantwortlich sind, wie die Infrastruktur geschützt wird. Lassen Sie nicht zu, dass Vorfälle zum Anlass genommen werden, die Sicherheit in Ordnung zu bringen, sondern seien Sie besser proaktiv und denken Sie immer daran, dass Sie für die Sicherheit der Arbeitslasten in Azure.

Hier sind die Themen, die wir behandeln werden, und diese Best Practices sind bereits in der offiziellen Microsoft Dokumentation niedergeschrieben, aber ich war so frei, sie mit meiner Erfahrung aufzupeppen:

  1. Planung und Bereitstellung virtueller Maschinen
  2. Schützen Sie virtuelle Maschinen mit Zugriffskontrolle (IAM)
  3. Endpunktschutz für virtuelle Maschinen
  4. Verfügbarkeit von VMs
  5. VM-Updates - Sicherheits-Patching
  6. Festplatten verschlüsseln
  7. Netzwerksicherheit für VM
  8. Just in time VM-Zugriff
  9. Überwachung Ihrer Infrastruktur

Planung und Bereitstellung virtueller Maschine
n
Wenn es um die Planung geht, gibt es viele Dinge, die als gesunder Menschenverstand angesehen werden, und nach meiner praktischen Erfahrung ist das meiste, was "selbstverständlich" ist, der Ort, an dem die Dinge auseinander fallen werden. Deshalb beginne ich ein Projekt immer gerne mit einer ordentlichen Planung, oder wie mein Ex-Chef sagen würde: "Etwas ohne Planung zu tun ist gleichbedeutend damit, es nicht zu tun". Um zu analysieren und mit den Leuten zu sprechen, arbeiten Sie vielleicht in der IT-Abteilung oder im DevOps-Team, das für die Zuweisung des Zugriffs auf IaaS an andere verantwortlich ist, oder Sie können Antragsteller sein, egal, fragen Sie immer nach Planungssitzungen - die Frage ist nur, warum? Nun, Leute fragen manchmal nach Ressourcen in der Cloud, die nicht unbedingt benötigt werden, und in den meisten Fällen werden sie der Sicherheit nicht viel Aufmerksamkeit widmen. Sicherheit ist in diesem Fall eine VERANTWORTUNGSVERTEILUNG zwischen dem Cloud-Anbieter Microsoft und Ihnen als Kunde:

Planung und Einsatz virtueller Maschinen

Sobald Sie alles mit Ihren Kunden, Kollegen oder mit wem auch immer Sie arbeiten geklärt haben, dokumentieren Sie es (nicht faul werden und das für später aufheben), senden Sie es als Mini-Projektplan an Ihr Team, und als Best Practice in diesem Fall erstellen Sie Ihre Dokumentation mit den Praktiken, die Sie implementieren möchten - natürlich können Sie Blueprints und Richtlinien haben, und wenn Ihre Umgebung auf diesem Niveau ist, Daumen hoch, aber normalerweise werden IT-Abteilungen nicht viel Zeit für die Konfiguration all dieser Dinge haben, also bereiten Sie sich mit "Best Practice"-Dokumenten vor. 


Während des Planungseinsatzes stehen der Azure Rechner und die Einrichtung von Budget-Alerts für Ihre Infrastruktur zumindest zur Vermeidung finanzieller Risiken mit unter dem Sicherheitsaspekt. 

 

Schützen Sie virtuelle Maschinen mit Zugriffskontrolle (IAM)

Das erste, was Sie während der Planungssitzungen wissen wollen, ist, was für das Team oder die Person, die IaaS nutzen wird, erforderlich ist - verwenden Sie immer den Ansatz der geringsten Privilegien -, also geben Sie ihnen genau das, was sie brauchen; wenn sie mehr brauchen, werden Sie derjenige sein, der es genehmigt, und wenn sie sich nicht beschweren, nun, dann sind Sie gut dran und sicher. Es gibt ein paar verschiedene Rollen, die Sie verwenden können. Folgen Sie der offizielle Microsoft Link um zu prüfen, welches Ihren Bedürfnissen am besten entspricht.

 

Endpunktschutz für virtuelle Maschinen

Sobald Sie die Infrastruktur oder die virtuelle Maschine bereitgestellt haben, ist es an der Zeit, über den Endpoint-Schutz nachzudenken. Genau wie bei Ihrem persönlichen Laptop wollen Sie sicher sein, richtig? Wie kommt es dann, dass einige Leute vergessen, einen Endpunkt auf VMs einzurichten.


Sie sollten einen Anti-Malware-Schutz installieren, um Viren, Spyware und andere bösartige Software zu identifizieren und zu entfernen. Sie können Folgendes installieren
Microsoft Antimalware oder die Endpunktschutzlösung eines Microsoft Partners (Trend Micro, Broadcom, McAfee, Fenster-Verteidigerund System Center Endpunktschutz). Microsoft gibt 1 Milliarde pro Jahr für die Sicherheit aus - warum sollte man es nicht nutzen, es ist wie kostenloses Geld, mit dem man seine Infra sparen kann?

Endpunktschutz für virtuelle Maschinen

Verfügbarkeit von VMs

Wenn es um die Verfügbarkeit geht, sind die garantierten Zahlen für SLA (Service Level Agreement) wirklich gut, aber Ihre VM kann ausfallen, wenn es ein Problem oder ein Wartungsfenster gibt, das Sie so gut wie möglich verhindern wollen.


Diese beiden Praktiken werden Ihnen helfen:
Verfügbarkeits-Sets und Verfügbarkeitszone

Wenn Sie immer noch nicht wissen, wie Sie diese großartigen Funktionen nutzen können, rate ich Ihnen dringend, diese in Microsoft Dokumenten zu finden und sie für die wichtigsten Ressourcen in Ihrer Umgebung zu nutzen.

VMs Verfügbarkeit

VM-Updates - Sicherheits-Patching

  • Azure VMs sind, wie alle lokalen VMs, für die Benutzerverwaltung vorgesehen. Azure drückt ihnen keine Windows-Updates zu. Sie müssen Ihre VM-Updates verwalten.
  • Halten Sie Ihre VMs aktuell. 
  • Wenn Sie Windows Update verwenden, lassen Sie die Einstellung für automatisches Windows Update aktiviert. Stellen Sie bei der Bereitstellung sicher, dass die Images, die Sie erstellt haben, die neueste Runde von Windows Updates enthalten.
  • Verteilen Sie Ihre VMs regelmäßig neu, um eine neue Version des Betriebssystems zu erzwingen.
  • Definieren Sie Ihre VM mit einer Azure Ressourcen-Manager-Vorlage so dass Sie es leicht umstellen können. Durch die Verwendung einer Vorlage erhalten Sie eine gepatchte und sichere VM, wenn Sie sie benötigen.
  • Schnelle Anwendung von Sicherheitsupdates auf VMs.
  • Azure Sicherheitszentrum (Freie Stufe oder Standardstufe) an fehlende Sicherheitsupdates identifizieren und anwenden.
  • Installieren Sie die neuesten Sicherheitsupdates.
  • Bereitstellen und Testen einer Backup-Lösung.

Eine Sicherung muss genauso gehandhabt werden wie jede andere Operation. Dies gilt für Systeme, die Teil Ihrer Produktionsumgebung sind und bis in die Cloud reichen.

 

Festplatten verschlüsseln

  • Es wird dringend empfohlen, dass Sie Ihre virtuellen Festplatten (VHDs) verschlüsseln, um Ihr Startvolumen und die im Speicher ruhenden Datenvolumes sowie Ihre Verschlüsselungsschlüssel und Geheimnisse zu schützen. Azure Die Festplattenverschlüsselung verwendet den Industriestandard BitLocker Funktion von Windows und die DM-Crypt Funktion von Linux zur Verschlüsselung der Datenträger für das Betriebssystem und die Datenplatten.
  • Verwenden Sie einen Schlüssel-Verschlüsselungsschlüssel (KEK) für eine zusätzliche Sicherheitsebene für Verschlüsselungsschlüssel. Fügen Sie einen KEK zu Ihrem Schlüsseldepot hinzu.
  • Nehmen Sie eine Schnappschuss und/oder Sicherung, bevor die Platten verschlüsselt werden. Backups bieten eine Wiederherstellungsoption, falls während der Verschlüsselung ein unerwarteter Fehler auftritt.
  • Um sicherzustellen, dass die Verschlüsselungsgeheimnisse keine regionalen Grenzen überschreiten, müssen sich bei der Azure Festplattenverschlüsselung das Schlüsseldepot und die VMs in der gleichen Region befinden.

Netzwerksicherheit für VM

  • Identifizieren und beheben Sie exponierte VMs, die den Zugriff von "jeder" Quell-IP-Adresse aus ermöglichen.
  • Konfigurieren von NSG - Netzwerksicherheitsgruppen. 
  • Standardmäßig hat jede VM von jedem Standort aus RDP- und SSH-Ports geöffnet. Dies, mit einer öffentlichen IP-Adresse, die der VM zugewiesen ist, ist ein Aufruf an Hacker, da jede öffentliche IP-Adresse gescannt wird und Angreifer sie angreifen können, oder ich würde sogar sagen, angreifen werden, wenn man sie so belässt.
  • Informieren Sie sich im Detail und bauen Sie Ihre NSG so auf, dass nur Benutzer von bestimmten IP-Adressen auf Ihre VM zugreifen können.
  • Nehmen Sie einen streng vertraulichen Server, auf dem Benutzerdaten gespeichert sind. Wie würden Sie diese schützen? Erwägen Sie die Verwendung von Jump-Servern. Dabei handelt es sich um virtuelle Maschinen, die nicht mit einer Domäne verbunden sind und von denen aus Sie nur auf andere VMs in Ihrer Umgebung weiter zugreifen können. 
Netzwerksicherheit für VM

Just in time VM-Zugriff (JIT
)
Beschränken Sie Verwaltungsports (RDP, SSH). Einzelheiten: Der Just-in-Time (JIT)-VM-Zugriff kann dazu verwendet werden, den eingehenden Datenverkehr zu Ihren Azure VMs zu sperren, um die Anfälligkeit für Angriffe zu verringern und gleichzeitig einen einfachen Zugriff zu ermöglichen, um bei Bedarf eine Verbindung zu den VMs herzustellen. Wenn JIT aktiviert ist, sperrt das Sicherheitscenter den eingehenden Verkehr zu Ihren Azure VMs, indem es eine Netzwerksicherheitsgruppenregel erstellt. Sie wählen die Ports auf der VM aus, zu denen eingehender Verkehr gesperrt wird. Diese Ports werden von der JIT-Lösung gesteuert.

Lesen Sie über mögliche Angriffsszenarien, die Ihnen passieren können, und dann werden Sie JIT schnell umsetzen 😊.

VM-Zugriff

Überwachung Ihrer Infrastruktur

Azure Security Center ist ein vereinheitlichtes Sicherheitsmanagementsystem für die Infrastruktur, das die Sicherheitslage Ihrer Rechenzentren stärkt und fortschrittlichen Schutz vor Bedrohungen für Ihre hybriden Workloads in der Cloud - ob in der Cloud Azure oder nicht - sowie vor Ort bietet. Empfohlen wird die Verwendung von Azure Überwachen Sie um Einblick in den Zustand Ihrer Ressourcen zu gewinnen. Azure Funktionen überwachen:

Organisationen, die die VM-Performance nicht überwachen, können nicht feststellen, ob bestimmte Änderungen der Performance-Muster normal oder anormal sind. Eine VM, die mehr Ressourcen als normal verbraucht, könnte auf einen Angriff von einer externen Ressource oder einen in der VM laufenden kompromittierten Prozess hinweisen.

Überwachung Ihrer Infrastruktur

Vielen Dank für die Lektüre dieses Blogs.

Weitere Details und Referenzen siehe dazu Link

Sicherheits-Best-Practices für IaaS-Arbeitslasten in Azure
Menü