Microsoft Azure bildet das Rückgrat vieler Unternehmens-IT-Umgebungen, doch die Standardkonfigurationen sind selten sicher genug. Ein ungeschützter Azure-Tenant ist eine offene Einladung — falsch konfigurierte Identitäten, zu freizügige Netzwerkregeln und nicht überwachte Ressourcen gehören zu den häufigsten Angriffsvektoren bei Cloud-Verletzungen.
Dieser Leitfaden behandelt die fünf wichtigsten Bereiche zur Absicherung einer Azure-Umgebung: Identität, Netzwerk, Daten, Monitoring und Compliance. Es handelt sich nicht um theoretische Empfehlungen — sie spiegeln wider, was wir täglich für unsere Kunden implementieren und prüfen.
1. Identität und Zugriff absichern
Identität ist die primäre Angriffsfläche in Azure. Über 80 % der Cloud-Verletzungen betreffen kompromittierte Anmeldedaten. Der erste Schritt zur Absicherung Ihrer Azure-Umgebung ist die Durchsetzung von Zero-Trust-Prinzipien für jede Identität.
- MFA überall — aktivieren Sie die Multi-Faktor-Authentifizierung für alle Benutzer, einschließlich Admin- und Dienstkonten. Verwenden Sie Phishing-resistente Methoden (FIDO2-Schlüssel, Authenticator Number Matching) statt SMS.
- Conditional-Access-Richtlinien — beschränken Sie Anmeldungen nach Standort, Geräte-Compliance, Risikostufe und Anwendungssensitivität. Blockieren Sie Legacy-Authentifizierungsprotokolle vollständig.
- Least Privilege mit PIM — verwenden Sie Privileged Identity Management für zeitlich begrenzte Just-in-Time-Erhöhung von Admin-Rollen. Kein dauerhafter Global-Admin-Zugriff.
- Regelmäßige Überprüfungen — führen Sie vierteljhrliche Zugriffsüberprüfungen in Entra ID durch, um veraltete Konten, übermäßige Rollenzuweisungen und verwaiste Gastbenutzer zu entfernen.
2. Netzwerk segmentieren und schützen
Die Netzwerksicherheit in Azure beginnt mit der Segmentierung. Ein flaches Netzwerk bedeutet, dass eine einzige kompromittierte VM jede andere Ressource erreichen kann.
- Network Security Groups (NSGs) — wenden Sie granulare Allow/Deny-Regeln auf Subnetz- und NIC-Ebene an. Standard-Deny für eingehenden Verkehr, nur das Nötige freigeben.
- Azure Firewall oder NVA — zentralisieren Sie die Verkehrsinspektion, FQDN-Filterung und Threat-Intelligence-basierte Blockierung zwischen VNets und zum Internet.
- Private Endpoints — machen Sie PaaS-Dienste (Storage, SQL, Key Vault) nurüber private IP-Adressen erreichbar. Eliminieren Sie die öffentliche Internet-Exposition wo möglich vollständig.
- DDoS Protection — aktivieren Sie Azure DDoS Protection Standard auf VNets mit öffentlich erreichbaren Workloads zur Abwehr volumetrischer und protokollbasierter Angriffe.
3. Daten im Ruhezustand und bei der Übertragung schützen
Cloud-Sicherheit bedeutet, Daten überall dort zu schützen, wo sie sich befinden. Azure verschlüsselt Daten im Ruhezustand standardmäßig, aber die Standardverschlüsselung allein ist keine Strategie.
- Kundenverwaltete Schlüssel — verwenden Sie Azure Key Vault zur Verwaltung Ihrer eigenen Verschlüsselungsschlüssel für Storage-Konten, SQL-Datenbanken und verwaltete Datenträger. Volle Kontrolle über Rotation und Widerruf.
- TLS überall — erzwingen Sie TLS 1.2+ auf allen Diensten. Deaktivieren Sie ältere Protokolle auf Storage-Konten, App Services und SQL-Verbindungen.
- Backup und Unverfälschbarkeit — konfigurieren Sie Backup mit unveränderlichen Tresoren, um zu verhindern, dass Ransomware Backup-Daten verschlüsselt oder löscht. Testen Sie die Wiederherstellungsverfahren vierteljhrlich.
- Datenklassifizierung — verwenden Sie Microsoft Purview zur Klassifizierung, Kennzeichnung und Nachverfolgung sensibler Daten in Azure, Microsoft 365 und On-Premise-Speichern.
4. Alles überwachen, schnell reagieren
Sichtbarkeit ist die Grundlage der Cloud-Sicherheit. Wenn Sie nicht sehen können, was in Ihrer Azure-Umgebung passiert, können Sie sie nicht verteidigen.
- Microsoft Defender for Cloud — aktivieren Sie auf allen Abonnements.Überprüfen Sie den Secure Score regelmäßig und beheben Sie zuerst die Empfehlungen mit dem größten Einfluss.
- Microsoft Sentinel — zentralisieren Sie Logs aus Entra ID, Azure Activity, NSG-Flow-Logs und Drittquellen. Nutzen Sie integrierte Analyseregeln und erstellen Sie benutzerdefinierte Erkennungen.
- Diagnoseeinstellungen — aktivieren Sie Diagnoseprotokolle auf jeder Ressource: Key-Vault-Zugriffsprotokolle, Storage-Analytics, SQL-Auditing. Leiten Sie alles an einen Log-Analytics-Arbeitsbereich weiter.
- Incident-Response-Plan — definieren Sie Playbooks für gängige Szenarien (kompromittiertes Konto, exponierter Storage, verdächtige Anmeldung). Integrieren Sie Ihren Incident-Response-Prozess.
5. Governance und Compliance durchsetzen
Sicherheitskontrollen müssen konsistent durchgesetzt werden, nicht als individuelle Entscheidungen belassen. Azure Policy und Management Groups ermöglichen es, Sicherheitsanforderungen über den gesamten Tenant hinweg zu kodifizieren.
- Azure Policy — setzen Sie Leitplanken im großen Maßstab durch: öffentliche IPs auf VMs verweigern, Verschlüsselung auf Storage erzwingen, erlaubte Regionen auf EU-Rechenzentren beschränken. Prüfen Sie vor der Durchsetzung, um Störungen zu vermeiden.
- Management Groups — organisieren Sie Abonnements in einer Hierarchie, die Ihre Sicherheitszonen widerspiegelt. Wenden Sie Richtlinien auf Management-Group-Ebene an.
- Regulatorische Compliance — ordnen Sie Ihre Kontrollen NIS2, ISO 27001 und DSGVO zu — mithilfe des Regulatory-Compliance-Dashboards in Defender for Cloud.
- Ressourcensperren — setzen Sie CanNotDelete-Sperren auf kritische Ressourcen (Key Vaults, Datenbanken, Backup-Tresore), um versehentliches oder böswilliges Löschen zu verhindern.