search

shieldSecurity

Die Nutzung von Cloud-Diensten erfordert ein durchdachtes Sicherheitskonzept. In Azure basiert dieses auf einem mehrstufigen Sicherheitsmodell, kombiniert mit einer klaren Aufteilung der Verantwortlichkeiten zwischen dem Cloud-Anbieter (Microsoft) und den Kunden. Ziel dieses Moduls war es, diese Ebenen zu verstehen und auf eine Beispielanwendung anzuwenden.

hashtag
Defense in Depth

Azure verfolgt das Konzept der "Tief greifenden Sicherheit", bei dem Schutzmechanismen auf mehreren Ebenen eingesetzt werden:

  1. Physisch – Rechenzentren, Zugangskontrollen

  2. Administrativ – Identitäten, Rollen, MFA

  3. Netzwerk – Firewalls, NSGs, VPNs

  4. Geräte – Endpoint-Schutz, Patchmanagement

  5. Applikation – Secure Coding, Validierung

  6. Daten – Verschlüsselung, Zugriffsbeschränkungen

Jeder Layer schützt unabhängig, sodass ein Durchbruch nicht direkt zu einem Totalverlust führt.

hashtag
Shared Responsibility Model

In der Cloud teilen sich Microsoft und der Kunde die Verantwortung fĂĽr Sicherheit:

Bereich
Verantwortlich

Physische Infrastruktur

Microsoft

Netzwerksicherheit

Microsoft

Plattformdienste (z. B. DBaaS)

Microsoft

Zugriff, Rollen, Daten

Kunde

App-Sicherheit & Konfiguration

Kunde

Je höher der Abstraktionsgrad (z. B. PaaS vs. IaaS), desto mehr Sicherheit übernimmt Microsoft – aber nie für Daten und Benutzerzugriffe.

hashtag
Sicherheitsverwaltung auf den vier Azure-Ebenen

chevron-rightManagement/Tenanthashtag

  • Benutzerverwaltung ĂĽber Azure Active Directory

  • Rollenzuweisungen nach dem Prinzip der geringsten Rechte

  • Globale Richtlinien (z. B. MFA verpflichtend)

chevron-rightSubscriptionshashtag

  • Gilt als Verwaltungseinheit mit Budgetgrenzen

  • Rollen und Berechtigungen werden vererbt

  • Wichtig: Kostenkontrolle und BudgetĂĽberwachung

chevron-rightRessourcengruppenhashtag

  • Logische Gruppierung von Ressourcen

  • Berechtigungen pro Gruppe möglich

  • Einsatz: Trennung z. B. nach Umgebung (Dev/Test/Prod)

chevron-rightRessourcenhashtag

  • Feingranulare Rechte

  • Separater Zugriff auf z. B. eine VM oder Datenbank

  • FĂĽr kritische Ressourcen empfohlen

hashtag
Replikationsstrategien

chevron-rightLocally Redundant Storagehashtag

  • 3 Kopien in einer Region

  • Schutz gegen Hardwarefehler

  • Basis-Level

chevron-rightZone Redundant Storagehashtag

  • 3 Kopien in verschiedenen VerfĂĽgbarkeitszonen einer Region

  • Schutz gegen Zonenausfälle

chevron-rightGeo Redundant Storagehashtag

  • 6 Kopien: 3 in Primärregion, 3 in Sekundärregion (>300 Meilen entfernt)

  • Asynchrone Replikation

  • Schutz vor regionalen Katastrophen

chevron-rightRead-Access GRShashtag

  • Wie GRS, aber mit Lesezugriff auf Sekundärregion

chevron-rightGeographically Zone Redundant Storagehashtag

  • Kombination aus Zonen- und Geo-Redundanz

  • Maximale Ausfallsicherheit: Zone + Region

  • Synchroner Write in der Hauptregion + asynchrone Kopie in andere Region

chevron-rightRead-Access GZRShashtag

  • Wie GZRS, aber mit Lesezugriff auf Sekundärregion

PreviousIaCNextBerechtigungen

Last updated