Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Azure: Basiswissen für Administratoren

Sicherheitsmechanismen in Azure

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Sicherheit steht beim Betrieb von IT-Infrastruktur an erster Stelle. Daher fasst dieses Video zusammen, welche Sicherheitsmechanismen Microsoft für den Betrieb von Azure einsetzt. Hier geht es um physikalische Sicherung der Data Centers, um Georeplikation, um Datenverschlüsselung sowie um Penetration Tests durch Microsoft als Hoster.
12:38

Transkript

Dieses Video soll einen Überblick zum Thema Sicherheit auf der Azure Plattform bieten. Wenn ich als Unternehmenskunde bestimmte IT-Ressourcen von einem Hoster bereitstellen lasse, um nichts anderes geht es hier bei Azure. Es geht um Outsourcing, es geht um Hosting. Spielt natürlich das Thema "Sicherheit" eine wichtige Rolle, weil ich nämlich in dem Fall eine Verantwortlichkeit für ein wichtiges Thema, also für IT-Sicherheit, für Datenschutz aus der Hand gebe. Jetzt wollen wir uns ein paar wesentliche Punkte anschauen, was Microsoft alles tut, um dieser großen Verantwortung gerecht werden zu können. Erst einmal haben wir hier auf unserer Weltkarte eine Übersicht von unterschiedlichen sogenannten Azure Regionen, die teilweise im Status Generally available sind, das heißt, sie sind im Betrieb und sie sind nutzbar oder sie sind im Status Coming soon, wie wir das hier in Südafrika oder in Frankreich sehen können. Diese Landkarte wird systematisch um mehrere Datacenter erweitert, zeigt also auch, dass es sich bei Azure, auch oft der Infrastruktur beziehungsweise Datacenter-Ebene um ein sogenanntes Moving Target handelt, das heißt, es gibt ständig Veränderungen und Erweiterungen. Wichtig ist hier zu wissen, dass es sogenannte geschlossene Governments Clouds gibt. Die deutsche Cloud ist ein Beispiel dafür, aber auch die kanadische Cloud und die chinesische Cloud. Wenn ich dort meinen Azure Mandanten liegen habe, dann kann ich wirklich nur Ressourcen innerhalb von diesen Azure Regionen beziehen und nicht von außerhalb. Das sind geschlossene sogenannte Governments Clouds. Anders ist es in dem Fall beispielsweise bei North Europa und West Europa oder von South oder West UK. Von dort aus kann ich bestimmte Services, sofern sie von dort angeboten werden, munter miteinander vermischen, welche Produkte und Regionen angeboten werden, können wir aus der entsprechenden Website sehen, die ich jetzt hier als Nächstes einblende, und Sie sehen, das ist durchaus vergleichbar mit einem Flickenteppich. Nicht jeder Service wird tatsächlich auch aus jeder sogenannten Azure Region heraus angeboten, was man also vorher recherchieren sollte. Natürlich unterscheiden sich auch die Preise, je nachdem, aus welcher Region ich meine Services beziehe. Wenn ich mich also entschließe, bestimmte Services aus der Azure Cloud zu nutzen, muss ich als Unternehmen natürlich erst einmal entscheiden, stufe ich diese Cloud als vertrauenswürdige Cloud ein, oder nicht. Da geht es natürlich nicht nur um das Thema Hardware, sondern da geht es vor allem um das Thema Prozesse, wie wird diese Cloud betrieben, wer hat Zugriff auf die Daten, wo liegen die Daten, und was passiert im Support-File, welcher Service-Mitarbeiter von Microsoft hat Zugriff auf bestimmte Daten. Und diese Entscheidung oder diese Auswertung wird oftmals nicht von IT-Mitarbeitern gemacht, sondern von Betriebswirten beziehungsweise von Datenschutzbeauftragten. Die müssen die Entscheidung treffen oder einstufen, ist die Microsoft Cloud für uns als Unternehmen vertrauenswürdig oder nicht. Natürlich hängt das hier im Wesentlichen davon ab, ob Sie als Unternehmen eine Verpflichtung gegenüber Ihren eigenen Kunden eingegangen sind, dass bestimmte Daten nicht outgesourced werden dürfen. Darüber hinaus gibt es dann auf dieser Website, auf der wir gerade sind, dem Azure Trust Center, eine gezielte Aufarbeitung all dieser Themen für die Zielgruppe der nicht IT-ler, um diese Aspekte noch einmal transparent nachvollziehen zu können, beispielsweise welche Datenverschlüsselungsmöglichkeiten es gibt, wenn ich Azure nutze beziehungsweise in einem Azure Storage Daten ablege. Wenn ich also Datenablage in einer bestimmten Azure Region, sei es in Westdeutschland oder sei es in Westeuropa, dann kann ich mich um das Thema Verschlüsselung kümmern. Hier gibt es unterschiedliche Verschlüsselungsmöglichkeiten bis hin zu dem Verschlüsselungsstandard AES-256. Dieser Standard basiert auf einem sehr langen, und komplexen Schlüssel und ist deswegen auch in den USA für die Verschlüsselung staatlicher Dokumente mit höchster Geheimhaltungsstufe zugelassen. Wir sehen hier in der Dokumentation die Anzahl der Schritte, die man bräuchte, nämlich 2 hoch 254 Schritte, die man ausprobieren müsste, um den Schlüssel für ein Datenpaket zu erraten, das mit AES-256 verschlüsselt ist. Das heißt, wir reden hier von einer sehr komplexen und sehr sicheren Datenverschlüsselung, die wir im Kontext von Azure Datenablage verwenden können. Das nächste Beispiel soll noch einmal unterstreichen, dass es nicht egal ist, ob ich eine Datenbank auf der Platform as a Service-Ebene oder auf der Infrastructure as a Service-Ebene, ansiedle. In dieser Dokumentation ist von einer Azure SQL-Database die Rede auf der Platform as a Service-Ebene, das heißt, ich habe hier nicht die Verantwortung für das, was auf dem Betriebssystem passiert, und muss dafür natürlich auch deutlich weniger tun im Hinblick auf die Datenabsicherungen. Hier sehen wir einige Dokumentationen zum Thema Datenschutzzugriffsteuerung, Firewall-Regeln, Authentifizierung et cetera, die auf der Platform as a Service-Ebene stattfinden. Wenn wir heruntergehen auf die Infrastructure as a Service-Ebene, haben wir zusätzlich auch die Verantwortung dafür, was auf den VMs, die wir selber steuern, beziehungsweise was auf dem Betriebssystem passiert. Konkret bedeutet das also, welche Ports sind offen, unter welcher Public IP-address ist ein virtueller Server oder eine VM von außen übers Internet erreichbar. Das sind alles Dinge, die ich auf der Infrastructure as a Service-Ebene berücksichtigen muss. Das eigentlich Wertvolle an einer Datenbank sind natürlich die Disks, die die Datenbanken eigentlich beheimaten. Diese kann ich verschlüsseln unter der Verwendung eines Services namens Storage Encryption for Azure Managed Disks. Man muss dazu sagen, dass die Managed Disks eine bestimmte Form einer Festplatte sind, die vom Azure Storage abstrahiert sind, das heißt, es gibt keine Storage-Zuordnung zu einer Disks, das heißt, die Disk steht für sich, ohne dass explizit greifbarer Storage hintendran hängt. Wenn ich diesen Service benutze, habe ich eine Verschlüsselungsmöglichkeit, wie sie hier entsprechend seit Juni, 2017 herunterdokumentiert ist. Grundsätzlich gibt es im Azure Portal natürlich mehrere Security Issues, die anfallen können, die ich an einem bestimmten Punkt zusammengefasst haben möchte. Das tut das sogenannte Azure Security Center. Das ist ein separater Dienst innerhalb des Azure Portals, was meinen Mandanten permanent nach potenziellen Security Gaps durchforstet und mir diese anzeigt. Wenn ich eine virtuelle Maschine nutze, ist natürlich heutzutage die größte Bedrohung der sogenannte Verschlüsselungstrojaner. Wenn ich die Verantwortung trage für das Betriebssystem und für Portfreigaben beziehungsweise IP-Adressen, muss ich natürlich auch hier wieder bestimmte Absicherungsmechanismen treffen. Das betrifft natürlich in erster Linie das Thema Patching, das heißt, über ein Patching kann ich die sogenannte SMB-Ebene beziehungsweise Service Massage Blocks, worauf diese Krypto-Trojaner abzielen, entsprechend absichern. Darüber hinaus gibt es natürlich Thematiken wie Portfreigaben, die ich mir genau angucken sollte, und natürlich auch das Thema Windows Update spielt hier wieder eine wesentliche Rolle, sprich all das, was ich ohnehin tun muss, wenn ich eine virtuelle Maschine auf der Betriebssystemebene betreibe. Wenn ich eine VM habe, und da ist Windows Server drauf installiert, muss ich mich um diese Dinge kümmern unabhängig davon, ob diese VM jetzt in meiner Private Cloud oder aus Azure heraus bezogen wird. Auch hier wird wieder hingewiesen auf das Azure Security Center, was in der Lage ist, permanent zu monitoren und zu berichten, was in meinem Azure Tenant los ist und welche Security Gaps sich hier offen tun, damit ich diese schließen kann, nachdem sie gemeldet worden sind. Darüber hinaus kann man beispielsweise sogenannte Network Security Groups konfigurieren. Das sind softwarebasierte Firewalls, die explizit bestimmte Protokolle beziehungsweise Ports für eingehenden oder ausgehenden Traffic zulassen oder sperren. Die Funktionsweise einer Network Security Group sieht man an dieser schematischen Darstellung. Hier sehen wir eine sogenannte Drei-Tier-Architektur. Wir haben ein Front-End-Tier mit Webservern, wir haben ein sogenanntes Line of business-Tier, sprich, die Back-End-Server, und wir haben das Data-Tier in Form der Database Server. Die sind alle im gleichen virtuellen Netzwerk, aber unterteilt in unterschiedliche Subnets. Und auf Basis der Network Security Groups, die hier dargestellt sind, kann ich steuern unter Verwendung bestimmter Protokolls IP-Adressen beziehungsweise Ports, diese Subnets miteinander kommunizieren oder nicht kommunizieren dürfen. Wenn das noch nicht reicht, kann man darüber hinaus mit der sogenannten Azure Web Application Firewall arbeiten. Diese kann helfen, sich vor SQL injection oder Cross site scripting oder HTTP protocol violations zu schützen, indem man eine Azure-basierte Firewall in die Infrastruktur einbaut, um das, was die virtuellen Maschinen tun, natürlich zusätzlich schützen zu können. Diese Firewall ist in der Lage, zu unterscheiden, was ist ein valider Request und was ist eine potenzielle Attacke. Dementsprechend wird der eingehende Traffic durchgelassen oder gesperrt. IT-Sicherheit oder sogenannte Security compliance wird gerne definiert über die Isonorm 27001. Um gegenüber dieser Richtlinie oder Norm compliant zu sein, gibt es unterschiedliche Aspekte, die man berücksichtigen sollte. Im Grunde genommen sind die wichtigsten Aspekte innerhalb dieses Videos aber schon genannt worden. Sehen Sie bitte zu, dass Ihre virtuellen Server auf dem aktuellen Patchlevel sind, auch auf das Risiko hinaus, dass die darauf betriebenen Applikationen eventuell gestört werden können, denn gerade in der heutigen Zeit, wo die Cyber-Attacken sich häufen, ist die Sicherheit einer Applikation wichtiger als die Verfügbarkeit der Applikationen. Zum Ende dieses Videos kommen wir noch einmal darauf zu sprechen, was Microsoft alles tut, um seine Azure Plattform möglichst sicher zu betreiben. Wir haben natürlich erst einmal die physikalischen Zugangskriterien, das heißt, jedes Datacenter ist mit Erdwellen umgeben, jedes Datacenter ist unterteilt in unterschiedliche Bereiche, und kein Mitarbeiter von Microsoft kann mit seinem Batch in jeden Sicherheitsbereich eintreten. Das ist aufgeteilt. Wenn es zu Supportfällen kommen, sprich, es gibt einen Supportcase, und ein Microsoft-Mitarbeiter oder der Mitarbeiter eines Daten-Treuhändlers muss auf ihren Mandanten zugreifen, dann läuft das immer auf Basis einer Zeitbeschränkung und auf Basis von ihrer Zustimmung. Darüber hinaus möchte ich Ihnen gerne noch ein kleines Video empfehlen, welches Sie auf Channel 9 im Rahmen der Azure Friday Show finden können, wo zwei Microsoft-Mitarbeiter schildern, welche Dinge getan werden, um die Microsoft Azure Plattform regelmäßig sogenannten Penetration Tests zu unterziehen. Dazu wurden zwei unabhängig voneinander operierende Teams gebildet, das sogenannte Team Red und das Team Blue. Diese beiden Teams versuchen, in regelmäßigen Abständen und ohne Absprache miteinander Microsoft Azure sogenannten Penetration Test zu unterziehen und zu versuchen, die bestehenden Security Barrieren zu brechen beziehungsweise zu umgehen, um daraus zu lernen, um Azure noch sicherer zu machen. In diesem Video haben wir uns also mit den wesentlichen Sicherheitsaspekten um die Azure Plattform beschäftigt.

Azure: Basiswissen für Administratoren

Lernen Sie das Wichtigste, was Sie als IT-Adminstrator über die Möglichkeiten von Azure wissen müssen.

4 Std. 2 min (31 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:07.09.2017

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!