Wenn Sie vorhaben, ganz oder teilweise in die Cloud zu migrieren ist es wichtig genau auf die Sicherheit zu achten, denn in der Cloud herrschen veränderte Regeln. Nichts ist schlimmer, als wenn Ihr Webdienst durch eine DDoS Attacke Ihr Webdienst nicht mehr zur Verfügung steht, oder gar Daten aus Ihrer Datenbank von unberechtigten abgerufen werden können. In Microsoft Azure gibt es viele Möglichkeiten die Sicherheit Ihrer Umgebung herzustellen und zu überwachen. Zu den wichtigsten gehören das Azure Security Center, das Azure Active-Directory und die Verschlüsselung von Daten.

Microsoft Azure Security Center

Das Microsoft Azure Security Center ist der Ausgangspunkt für Ihre Bestrebungen Ihre Cloud Infrastruktur abzusichern. Hier finden Sie einen Überblick mit Informationen zu allen von Ihnen genutzten Diensten, sowie Tipps und Hinweise zur Verbesserung der Sicherheit Ihrer Cloud Umgebung. Hierbei dreht sich immer alles um die drei wichtigsten Faktoren: Erkennen von Bedrohungen, Bewerten einer erkannten Bedrohung und Diagnostizieren von Handlungsmöglichkeiten.

Quelle: https://docs.microsoft.com

Authentifizierung und Autorisierung

Bei der Authentifizierung geht es darum einen Benutzer eindeutig zu Identifizieren und sicher zu stellen, dass das sich gerade anmeldende Benutzerkonto auch nur von demjenigen Benutzer verwendet wird, welchem es gehört. Die Autorisierung bestimmt, welche Zugriffsrechte die jeweilige Identität in Ihrer Umgebung hat und auf welche Ressourcen derjenige zugreifen darf. Weiterhin wird bestimmt mit welchem Zugriffslevel (nur Lesen, Mitwirken, Verwalten, etc.) der Zugriff auf diese Ressourcen gewährt wird. Das Grundsystem hierbei bildet das Azure Active Directory (Azure AD), welches auch die Authentifizierung für Office 365 und Dynamics 365 übernimmt. Um eine korrekte Authentifizierung zu gewährleisten bietet Azure AD verschiedene Dienste an:

  • Authentifizierung: Dies umfasst das Überprüfen der Identität für den Zugriff auf Anwendungen und Ressourcen sowie das Bereitstellen von Funktionalität, z.B. Self-Service-Kennwortzurücksetzung, mehrstufige Authentifizierung (Multi-Factor Authentication, MFA), eine benutzerdefinierte Liste mit gesperrten Kennwörtern und Smart Lockout-Dienste.
  • Einmaliges Anmelden (Single Sign-On, SSO): Beim einmaligen Anmelden müssen sich Benutzer nur eine ID und ein Kennwort merken, um auf mehrere Anwendungen zuzugreifen. Eine Identität ist jeweils nur an einen Benutzer gebunden, um das Sicherheitsmodell zu vereinfachen. Wenn Benutzer die Rolle wechseln oder ein Unternehmen verlassen, sind Zugriffsänderungen an diese Identität gebunden. So wird der Aufwand für das Ändern oder Deaktivieren von Konten erheblich reduziert.
  • Anwendungsverwaltung: Sie können Ihre Cloud-Apps und lokalen Apps verwalten, indem Sie den Azure AD-Anwendungsproxy, einmaliges Anmelden, das Portal „Meine Apps“ (auch als Zugriffsbereich bezeichnet) und SaaS-Apps verwenden.
  • Business-to-Business-Identitätsdienste (B2B): Verwalten Sie Ihre Gastbenutzer und externen Partner, während Sie gleichzeitig die Kontrolle über Ihre eigenen Unternehmensdaten behalten, indem Sie Business-to-Customer-Identitätsdienste (B2C) verwenden. Steuern Sie die Registrierung, Anmeldung und Profilverwaltung der Benutzer, wenn sie Ihre App mit Diensten verwenden.
  • Geräteverwaltung: Verwalten Sie, wie cloudbasierte oder lokale Geräte auf Ihre Unternehmensdaten zugreifen.

Verschlüsselung

Die letzte Festung beim Schutz vor Angriffen ist die Verschlüsselung der Daten. Hierbei gibt es zwei Grundsätze. Die Verschlüsselung von ruhenden Daten und die Verschlüsselung während der Übertragung. Bei der Verschlüsselung ruhender Daten geht es darum alle Daten, die gerade nicht genutzt werden, sich also auf einer Festplatte, einer Datenbank oder einem anderen Speichermedium befinden zu verschlüsseln, damit Angreifer, welche zum Beispiel eine Festplatte stehlen oder eine Datenbank kopieren können, mit den gestohlenen Daten nichts anfangen können, bzw. beim Zugriff auf die Daten, diese nicht kompromittieren können.

Quelle: pixabay

Bei der Verschlüsselung während der Übertragung geht es darum, die Daten zu schützen, während Sie von einem Ort an einen anderen Übertragen werden. Zum Beispiel wenn eine Mobile App, Daten aus der Datenbank abruft. Um zu verhindern dass fremde bei der Übertragung über das Internet mitlesen können, verschlüsseln Sie die Daten direkt vor der Übertragung und entschlüsseln diese nach Empfang, oder sie öffnen einen verschlüsselten Kanal (zum Beispiel einen VPN Tunnel) und können Ihre Daten dort unverschlüsselt sicher zwischen zwei Punkten übertragen. Mit Azure Disc Encryption und Transparent Data Encryption stellen Sie sicher das Ruhende Daten in Microsoft Azure verschlüsselt aufbewahrt werden.

Titelbildquelle: Pixabay