Azure Security – Für Anfänger und Fortgeschrittene

Wenn von Public Cloud die Rede ist, sind in der Regel die großen Hyperscaler wie Amazon AWS und Microsoft Azure genannt. Besonders Azure holt in Deutschland und auf der ganzen Welt zum Marktführer Amazon auf. Nun spricht generell nichts gegen den Einsatz von Public Cloud – wo er sinnvoll ist. Das hat viel mit der Vertraulichkeit der verarbeiteten Daten zu tun und mit dem Workload-Profil, also welche Art von Anwendung in der Cloud laufen soll. Hat eine Organisation unter Berücksichtigung dieser Fragen entschieden, dass sie einen Einsatz von Microsoft Azure befürwortet, kann es losgehen. Allerdings heißt das nicht, dass der Einkauf die goldene Kreditkarte zücken und einen Account anlegen sollte. Auch wenn man bestehende Workloads in die Cloud migrieren will, ist ein Eins-zu-Eins Umzug nicht immer möglich und selten sinnvoll. Azure enthält viele native Funktionen, die den eigentlichen Vorteil des Hyperscalers ausmachen. Ohne Anpassung der eigenen Software verschenkt eine Organisation viel Potential.

Genauso wichtig ist ein intensiver Blick auf die Informationssicherheit. Selbst wenn das beliebte Thema Compliance außen vor bleibt, verlangt Azure eine Menge an Arbeit im Vorfeld, damit hinterher eine sichere und einfach zu verwaltende Systemumgebung herauskommt. Zum Glück gibt sich Microsoft seit einiger Zeit rechtschaffen Mühe, seine Anwender bei diesen Fragen zu unterstützen. Schon länger ist das Cloud Adoption Framework verfügbar. Es enthält – auf sieben Schritte aufgeteilt - die wiederum mehr oder weniger Unterschritte enthalten, eine sehr umfangreiche Anleitung, wie ein Cloud-Umzug anzugehen ist. Von der Strategiedefinition bis hin zu den Themen Governance und Management ist alles dabei, worüber sich eine Organisation, namentlich ein Cloud-Architekt, Gedanken machen sollte. Das Cloud Adoption Framework ist nichts für den schnellen Test aber eigentlich unverzichtbar für einen produktiven Einsatz. Allerdings geht es nicht spezifisch auf Sicherheitsfragen ein. Dafür sind die Plattform Security Baselines zuständig.

Die Plattform Security Baselines leiten sich aus den CIS Benchmarks ab. CIS – Center for Internet Security – ist eine Non-Profit Organisation, die verschiedene Sicherheitsinitiativen steuert. CIS Benchmarks sind beispielsweise als Härtungsanleitung für Betriebssysteme und Netzwerkequipment bekannt. Benchmark ist der CIS-Ausdruck für Best Practice. Das CIS hat aber auch, zusammen mit Microsoft, einen spezifischen Benchmark für Azure entwickelt. Der wird als Security Baseline in den offiziellen Schulungs- und Technikunterlagen von Microsoft referenziert. Ähnlich wie ein Compliance Framework, allerdings viel detaillierter, beschreibt die Security Baseline, welche Einstellungen man in Azure vornehmen sollte, um einen grundlegenden Sicherheitslevel zu erzielen. Es gibt zwei Level: Level 1 stellt die empfohlenen Mindestanforderungen dar, Level 2, für hohe Sicherheitsanforderungen, ist mit Funktionseinschränkungen verbunden.

Das schöne an der Security Baseline ist die Eindeutigkeit. Anders als bei ISO oder BSI Grundschutz wird in acht Abschnitten klipp und klar beschrieben, welche Schalter in Azure wie zu konfigurieren sind. Ob Identity und Access-Management, Security Center, Storage Account oder SQL-Datenbanken – die Baseline hat eine Meinung dazu. Wer in punkto Sicherheit und Vorabplanung, jenseits von Tennant/Subscription-Design, Management Groups oder Policy Struktur nur minimalen Sicherheitsaufwand treiben möchte, sollte zumindest die Security Baseline umsetzen.

Mehr geht natürlich immer. Microsoft hat vor kurzem ein echtes Schmankerl für Sicherheitsprofis veröffentlicht: Den Security Compass. Dieses Set aus Dokumenten und Videos, Dreh- und Angelpunkt ist eine knapp 150 Seiten lange Präsentation, enthält den kompletten Weg zu einer optimal gesicherten Azure Umgebung. Neben Beispieltabellen für Rollen/Rechtezuordnungen gibt es auch eine Kurzversion mit 10 Best Practices in einem abgespeckten PowerPoint-Foliensatz. Allein die Haupt-Präsentation zu lesen und zu verstehen dauert einen ganzen Tag, und wer mit der Vorlage arbeiten will, kann sich auf einige Wochen intensiver Gespräche und Abstimmungen mit den Fachabteilungen in der Organisation einstellen. Aber es ist ein bisschen wie Malen nach Zahlen für Sicherheit: Man muss nur noch die vorgemalten Punkte verbinden und am Ende wird ein perfektes Azure Sicherheitsbild daraus.