Das 1×1 der IT-Sicherheit: Was macht unsere Cloud so sicher?

26. August 2020

Die Cloud ist mit ihrer Leistungsfähigkeit, einer Verfügbarkeit von mehr als 99,999 Prozent und ihrer hohen Sicherheit Basis nahezu aller innovativen Technologien. Dennoch gibt es nach wie vor Sicherheitsbedenken bei Unternehmen. Verständlich, denn schließlich vertrauen sie der Cloud ihre wertvollsten Assets an: ihre Daten, in denen ihr gesamtes Geschäft abgebildet ist, und oft auch ihr geistiges Eigentum. Vertrauen hat viel mit Verständnis und Transparenz zu tun. In dieser Folge unserer Serie „Das 1×1 der IT-Sicherheit“ möchten wir daher die Gelegenheit nutzen, das Sicherheitsangebot der Microsoft Cloud transparent und verständlich darzustellen.

Microsoft schützt seine weltweit 60 Rechenzentrumsregionen mit einem umfassenden Gesamtpaket an Maßnahmen – physische, infrastrukturelle und operationale Verfahren zum Schutz von Azure und aller weiteren Microsoft Services wie Dynamics und Microsoft 365. Damit verhindern wir, dass Unbefugte physisch oder virtuell in die Rechenzentren eindringen und dass Daten aus Versehen verloren gehen können. Dabei nutzen wir auch unsere jahrzehntelange Erfahrung bei der Entwicklung von Unternehmenssoftware und mit dem Betrieb von Microsoft Azure, Windows Server, Office bzw. Microsoft 365, Dynamics 365 oder auch Xbox Live. All das hat unsere Sicherheitsperspektive geprägt.

Azure Security Center: Rundum-Betreuung für mehr Sicherheit in der Cloud

Beim Schutz von Daten in der Cloud sind aber auch unsere Kunden gefragt: Dafür steht ihnen das Azure Security Center zur Verfügung. Hier können sie regelmäßige Sicherheitsbewertungen ihrer Azure-Infrastruktur durchführen. Sind alle virtuellen Maschinen in der Microsoft Cloud auf dem neusten Stand, alle Updates und Patches eingespielt, die Maschinen also bestmöglich geschützt? Bieten die Systeme unnötige öffentliche Endpunkte, die systembedingt die Möglichkeit eines unbefugten Eindringens in eine Cloud-Umgebung ermöglichen? Gibt es Daten, die unverschlüsselt in die Cloud übertragen oder von dort abgerufen werden können?

Das Azure Security Center ist auch dann aktiv, wenn unsere Kunden selbst im Moment nichts aktiv für die Sicherheit ihrer IT-Infrastruktur unternehmen. Im Security Center werden weltweit Billionen von Signalen unterschiedlicher Microsoft-Dienste und -Systeme verarbeitet und mithilfe maschineller Lernverfahren ausgewertet. Das sind Daten von Benutzer*innen, Anwendungen, Servern sowie Geräten, die lokal oder in einer beliebigen Cloud ausgeführt werden. Über diese automatischen und kontinuierlichen Analysen werden Angriffsversuche erkannt, die sonst nicht so einfach zu erkennen wären. Ein Beispiel hierfür wären Brute-Force-Angriffe auf das Remote-Desktop-Protocol (RDP) oder das Einschleusen von SQL-Befehlen mit dem Ziel, Datenbanken zu kompromittieren oder Daten zu stehlen. Unsere Kunden erhalten zudem auf Basis dieser Analysen Handlungsempfehlungen für solche Bedrohungslagen.

Spezielle Sicherheit für das Internet der Dinge

Vernetzte Unternehmen, Produktionsanlagen und Maschinen oder einfach auch nur vernetzte Dinge im (Industrial) Internet of Things (IIoT) benötigen besonderen Schutz, den sie nicht von Haus aus mitbringen. Aus diesem Grund bietet Microsoft als Bestandteil des Azure Security Centers das Azure Security Center for IoT, das alle IoT-Ressourcen umfasst und schützt. Über Azure Security Center für IoT können Kunden die Sicherheit von Computern, Netzwerken und Azure-Diensten fortlaufend überwachen – unter anderem mit der intelligenten Bedrohungserkennung von Microsoft Intelligent Security Graph.

Azure Sentinel – das cloud-native SIEM von Microsoft

Vom Security Center aus erhalten unsere Kunden Zugang zu weiteren Sicherheitslösungen der Microsoft Cloud, zum Beispiel auf Azure Sentinel, das cloud-native Security Information and Event Management (SIEM) von Microsoft. SIEM sammelt regelmäßig und automatisiert sicherheitsrelevante Informationen aus Log-Files, Netzwerken und mobilen Geräten, korreliert diese Daten und wertet sie auf Abweichungen und mögliche Angriffe aus – im Idealfall also, bevor ein Schaden eintritt. Azure Sentinel nutzt dafür nicht nur die praktisch unbegrenzten Rechenkapazitäten der Microsoft Cloud, sondern auch die künstliche Intelligenz (KI) von Azure, um auch bisher unbekannte Angriffsszenarien zu erkennen und zu bekämpfen. Übrigens auch unter Ausschluss sogenannter falsch-positiver Resultate, die für unproduktive Fehlalarme sorgen würden. Mehr zu SIEM erfahrt ihr in einer der nächsten Folgen unserer Serie „1×1 der IT-Sicherheit“.

Azure Sphere: Security by Design

Was aber nützt euch die sichere Cloud-Umgebung, wenn die Geräte in eurem Unternehmen nur unzureichend geschützt sind? Die Antwort auf diese wichtige Frage lautet Azure Sphere. Microsofts integrierte Sicherheitslösung für IoT-Geräte und -Anlagen in Unternehmen und Privathaushalten. Azure Sphere besteht aus zertifizierten Chips, die in eigene Geräte implementiert werden können und dort für mehr Sicherheit sorgen, und aus einem speziellen Betriebssystem mit zusätzlichen Sicherheitsebenen und fortlaufenden Sicherheitsupdates für Ihre IoT-Umgebungen. Dazu kommt der Azure-Sphere-Sicherheitsdienst, der für eine vertrauenswürdige Kommunikation zwischen Geräten und der Cloud sorgt, Bedrohungen erkennt und fortlaufende Gerätesicherheit gewährleistet. Abgerundet wird das Gesamtpaket von Azure Sphere von den besten Sicherheitsexpert*innen von Microsoft. Sie beobachten kontinuierlich neue Bedrohungen, entwickeln Updates und unterstützen über viele Jahre mit kontinuierlicher Softwarewartung.

Azure Network Security: Wenn Hacker*innen mal nicht ins Netz gehen

Der Datenverkehr zwischen einem Unternehmen und der Cloud ist immer ein potenzieller Schwachpunkt in einem Netzwerk. Grundsätzlich gilt das auch für virtuelle Netzwerke und Maschinen. Deshalb widmen wir dem Schutz von Ressourcen vor unbefugtem Zugriff oder einem Angriff durch Anwenden von Steuerelementen unsere besondere Aufmerksamkeit, um dafür zu sorgen, dass nur berechtigter Datenverkehr zugelassen wird. Wir erreichen das mit einem ganzen Bündel an Maßnahmen. Dazu gehört zum Beispiel, dass wir die Cloud-Infrastrukturen unserer Kunden voneinander isolieren, um gegenseitige Zugriffe unmöglich zu machen. Dazu gehört eine aktive Netzwerkzugriffssteuerung, die bestimmte Geräte oder Subnetze zulässt oder ausschließt, und die Clusterung von Berechtigungen in sogenannten Netzwerksicherheitsgruppen. Ein zentraler Punkt der Azure Network Security ist die Steuerung des Routingverhaltens. Damit verhindern wir, dass sich Geräte mit der IT-Infrastruktur unserer Kunden verbinden, die nicht dafür autorisiert sind. Und dazu gehört eine Azure Firewall als ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der die Ressourcen des Azure Virtual Networks schützt – eine Gesamtbeschreibung der Azure Network Security würde diesen Rahmen wohl sprengen. Details dazu könnt ihr daher in diesem ausführlichen Artikel nachlesen.

Azure-Compliance: Wir halten uns an die Regeln – garantiert!

Die Microsoft Cloud ist sicher! Das geben wir unseren Anwender*innen schriftlich – über eine ganze Reihe von Zertifikaten, die das bescheinigen. Wir halten Gesetze und Richtlinien ein, die für Cloud-Dienste in Bezug auf Datensicherheit und Datenschutz gelten. Wir bieten unseren Kunden ein breites Compliance- und Zertifizierungsportfolio – branchenweit einzigartig. Wir erhalten Zertifikate und Nachweise durch unabhängige Dritte. Wir legen aktuelle Prüfberichte offen, beispielsweise zu ISO-Standards wie ISO 27001. Und wir bieten in einem Compliance Framework den Abgleich kundenindividueller Vorgaben mit den Microsoft-Zertifizierungen und -nachweisen an. Details dazu gibt es in dieser Übersicht.

Weitere Beiträge der Serie:

Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos