Handbuch

Beginn einer Zero-Trust-Transformation von einem traditionellen Perimeter-Modell.

→Priorisieren Sie das Prinzip "Explizit überprüfen". Authentifizieren und autorisieren Sie jede Zugriffsanfrage basierend auf allen verfügbaren Datenpunkten (Identität, Gerät, Standort, Dienst, Daten, Anomalien).

Warum: Die explizite Verifizierung ist die tragende Säule von Zero Trust. Alle anderen Kontrollen (geringstes Privileg, von Kompromittierung ausgehen) bauen auf diesem Kernprinzip auf, niemals zu vertrauen und immer zu überprüfen.

Referenz↗

Entwurf einer umfassenden Verteidigung gegen die gesamte Ransomware-Angriffskette.

→Kombinieren Sie Privileged Access Workstations (PAWs) zur Verhinderung von Zugangsdatendiebstahl und lateraler Bewegung mit einer unveränderlichen Backup-Architektur (Azure Backup immutable vaults, MUA) für eine widerstandsfähige Wiederherstellung.

Warum: Dies deckt sowohl Prävention (PAWs unterbrechen den Angriff) als auch Wiederherstellung (unveränderliche Backups gewährleisten die Geschäftskontinuität, falls die Prävention fehlschlägt) ab und sorgt für echte Resilienz.

Integration der Bedrohungsmodellierung in einen agilen Entwicklungslebenszyklus mit kurzen Sprints.

→Implementieren Sie inkrementelle Bedrohungsmodellierung mithilfe der STRIDE-Methodik. Integrieren Sie diese in die Sprintplanung, aktualisieren Sie das Modell, wenn sich die Architektur weiterentwickelt, und nutzen Sie es als Gate für Sicherheitsüberprüfungen.

Warum: Die Bedrohungsmodellierung muss kontinuierlich und nicht einmalig sein, um in agilen Umgebungen effektiv zu sein. Inkrementelle Updates halten die Sicherheit mit der Entwicklungsgeschwindigkeit im Einklang.

Implementierung von Zero Trust mit einem schrittweisen Ansatz für schnelle Erfolge.

→Folgen Sie der Priorisierung des Zero Trust Rapid Modernization Plan (RaMP): 1. Identitäts- und Zugriffsmanagement, 2. Endpunkte und Geräte, 3. Anwendungen, 4. Netzwerk und Infrastruktur.

Warum: Die Sicherung der Identität bietet die größte sofortige Risikominderung und bildet die Steuerungsebene für alle anderen Zero Trust-Säulen.

Priorisierung der Behebung von Schwachstellen basierend auf den geschäftlichen Auswirkungen, nicht nur auf CVSS-Scores.

→Nutzen Sie Microsoft Security Exposure Management, um eine Angriffspfadanalyse für identifizierte kritische Assets durchzuführen. Priorisieren Sie die Behebung von Schwachstellen, die praktikable Angriffspfade zu hochrangigen Zielen ermöglichen.

Warum: Die Angriffspfadanalyse kontextualisiert Schwachstellen mit dem Geschäftsrisiko und stellt sicher, dass sich die Behebungsbemühungen auf Bedrohungen konzentrieren, die die größte Gefahr für die Organisation darstellen.

Durchsetzung einer konsistenten Sicherheits-Baseline in einem großen Unternehmen mit vielen Azure-Abonnements.

→Implementieren Sie Azure Policy-Initiativen, die mit MCSB auf der Stammverwaltungsgruppe ausgerichtet sind. Nutzen Sie Microsoft Defender for Cloud für die kontinuierliche Compliance-Überwachung über alle geerbten Abonnements hinweg.

Warum: Die Richtlinienzuweisung auf Managementgruppen-Ebene bietet skalierbare, geerbte Leitplanken für alle aktuellen und zukünftigen Abonnements und gewährleistet standardmäßig eine konsistente Sicherheits-Baseline.

Entwurf eines Security Operations Centers (SOC) für ein globales Unternehmen mit regionalen Datenresidenzanforderungen.

→Stellen Sie eine Microsoft Sentinel-Architektur mit mehreren Workspaces bereit. Halten Sie Daten in regionalen Log Analytics Workspaces, um Residenzanforderungen zu erfüllen. Nutzen Sie Azure Lighthouse für die zentrale Verwaltung und Workspace-übergreifende Abfragen für eine vereinheitlichte Bedrohungssuche.

Warum: Dieses Modell gleicht zentralisierte Sicherheitsoperationen und globale Sichtbarkeit mit lokaler Datenresidenz-Compliance ab und vermeidet Verstöße bei der Datenübertragung.

Referenz↗

Optimierung von SOC-Operationen durch den Einsatz von Microsoft Defender XDR und Microsoft Sentinel.

→Aktivieren Sie den Microsoft Defender XDR-Konnektor in Sentinel für die bidirektionale Incident-Synchronisierung. Nutzen Sie Defender XDR für die tiefe, automatisierte Untersuchung von M365/Endpunkt-Vorfällen. Verwenden Sie Sentinel für die domänenübergreifende Korrelation mit Drittanbieterquellen und erweitertes Hunting.

Warum: Dieser "besser zusammen"-Ansatz nutzt die Stärken beider Plattformen: XDR für integrierte, automatisierte Reaktion innerhalb des Microsoft-Ökosystems und SIEM für umfassende, plattformübergreifende Sichtbarkeit und Korrelation.

Implementierung der Automatisierung der Incident Response ohne übermäßige Risiken durch Fehlalarme.

→Entwerfen Sie eine gestufte Automatisierungsstrategie in Sentinel. Automatisieren Sie risikoarme Aktionen (Anreicherung, Benachrichtigungen) vollständig. Verwenden Sie Genehmigungsworkflows mit menschlicher Beteiligung für mittelriskante Aktionen (IPs blockieren). Reservieren Sie Aktionen mit hoher Auswirkung (Konten deaktivieren) für die manuelle Ausführung.

Warum: Gestufte Automatisierung gleicht Reaktionsgeschwindigkeit mit angemessener Überwachung ab, maximiert die SOC-Effizienz für gängige Aufgaben und verhindert gleichzeitig, dass automatisierte Aktionen größere Betriebsunterbrechungen verursachen.

Einrichtung einer einheitlichen Sicherheitsüberwachungsebene über lokale Umgebungen, Azure, AWS und GCP hinweg.

→Nutzen Sie Microsoft Sentinel als zentrales SIEM. Integrieren Sie lokale/Multicloud-Server über Azure Arc. Verwenden Sie native Sentinel-Datenkonnektoren für AWS- und GCP-Dienste. Aktivieren Sie Microsoft Defender for Cloud in allen Umgebungen.

Warum: Azure Arc erweitert die Azure-Steuerungsebene auf jede Infrastruktur und bietet eine einzige Verwaltungsoberfläche für Sicherheitsmanagement (Defender for Cloud) und Überwachung (Sentinel) über hybride und Multicloud-Umgebungen hinweg.

Sicherstellung der langfristigen, manipulationssicheren Aufbewahrung administrativer Audit-Protokolle für die Compliance.

→Konfigurieren Sie Diagnoseeinstellungen, um Azure Activity Logs in einen dedizierten Log Analytics Workspace und ein unveränderliches Azure Storage-Konto zu exportieren. Platzieren Sie diese Ressourcen in einem separaten, abgesicherten Sicherheits-/Verwaltungsabonnement.

Warum: Unveränderlicher Speicher (WORM) verhindert die Manipulation von Protokollen. Ein separates Verwaltungsabonnement isoliert Protokolle von Workload-Administratoren und verhindert, dass ein kompromittierter Administrator seine Spuren verwischt.

Priorisierung von Investitionen in Sicherheitskontrollen basierend auf wahrscheinlichen Angriffsmustern.

→Ordnen Sie vorhandene Sicherheitskontrollen dem MITRE ATT&CK-Framework zu. Analysieren Sie branchenrelevante Bedrohungsinformationen, um gängige TTPs zu identifizieren, die von wahrscheinlichen Gegnern verwendet werden. Priorisieren Sie das Schließen von Erkennungs-/Präventionslücken für diese spezifischen TTPs.

Warum: Dieser bedrohungsorientierte Ansatz stellt sicher, dass Sicherheitsinvestitionen direkt die wahrscheinlichsten und wirkungsvollsten Angriffsvektoren adressieren und die Risikominderung maximieren.

Verwaltung übermäßiger Berechtigungen (Permission Sprawl) für Identitäten über Azure, AWS und GCP hinweg.

→Stellen Sie Microsoft Entra Permissions Management (CIEM) bereit. Nutzen Sie es für die kontinuierliche Erkennung von Berechtigungen, die Risikobewertung (Permission Creep Index) und die Generierung von Empfehlungen zur Anpassung der Berechtigungen, um das Prinzip des geringsten Privilegs durchzusetzen.

Warum: CIEM ist eine spezialisierte Lösung zur Bewältigung der Komplexität von Multicloud-Berechtigungen, die Transparenz und automatisierte Analyse bietet, die mit nativen Cloud IAM-Tools allein nicht praktikabel ist.

Entwurf eines Programms zur Erkennung von Datenexfiltration oder Sabotage durch interne Mitarbeiter.

→Implementieren Sie Microsoft Purview Insider Risk Management. Integrieren Sie es in HR-Systeme, um Richtlinien basierend auf Beschäftigungsereignissen (z.B. Kündigung) auszulösen. Konfigurieren Sie Richtlinien basierend auf Risikoindikatoren und verwenden Sie Pseudonymisierung, um die Privatsphäre während der ersten Analyse zu schützen.

Warum: Effektives Insider Risk Management erfordert die Korrelation technischer Signale (z.B. Massen-Download) mit HR-Kontext (z.B. Kündigungsdatum des Mitarbeiters), wofür Purview unter Wahrung der Privatsphäre konzipiert wurde.

Entwurf der Netzwerksicherheit für eine Standard-Hub-and-Spoke-Azure-Topologie.

→Stellen Sie Azure Firewall Premium im Hub-VNet für die zentralisierte Verkehrsinspektion (einschließlich IDPS und TLS-Inspektion) bereit. Verwenden Sie User-Defined Routes (UDRs), um den Datenverkehr von den Spokes zu tunneln. Verwenden Sie NSGs für die Mikrosegmentierung innerhalb der Spokes. Aktivieren Sie Azure DDoS Protection auf dem Hub.

Warum: Diese geschichtete Architektur bietet eine mehrschichtige Verteidigung: zentralisierten Bedrohungsschutz im Hub, Mikrosegmentierung in den Spokes und Schutz vor volumetrischen Angriffen am Rand.

Referenz↗

Architektur zur Verhinderung, dass ein Angreifer von einer kompromittierten Workstation zu kritischen Servern (Tier 0) gelangt.

→Implementieren Sie das gestufte Administrationsmodell. Verwenden Sie separate, dedizierte Konten und Privileged Access Workstations (PAWs) für verschiedene Administrationsebenen (Tier 0, 1, 2). Erzwingen Sie, dass Tier-0-Anmeldeinformationen niemals auf Systemen niedrigerer Ebene verwendet werden.

Warum: Dies schafft Grenzen für die Isolation von Anmeldeinformationen und macht es unmöglich, dass der Diebstahl von Anmeldeinformationen auf einem Asset niedrigerer Ebene (wie einer Benutzer-Workstation) zu einer Kompromittierung eines Assets höherer Ebene (wie einem Domänencontroller) führt.

Sicherung einer Operational Technology (OT)-Umgebung mit älteren Geräten, die keine Sicherheitsagenten ausführen können.

→Stellen Sie Microsoft Defender for IoT mit passiven, agentenlosen Netzwerksensoren bereit. Implementieren Sie eine Netzwerksegmentierung basierend auf dem Purdue-Modell, um eine DMZ zwischen IT und OT zu schaffen. Integrieren Sie Defender for IoT-Warnungen in Microsoft Sentinel.

Warum: Die passive Netzwerküberwachung bietet Einblick in OT-spezifische Protokolle und Bedrohungen, ohne empfindliche, ältere Industriesysteme zu beeinträchtigen. Die Segmentierung begrenzt Bedrohungen und steuert IT/OT-Datenflüsse.

Entwurf einer mehrschichtigen Sicherheit für Azure Kubernetes Service (AKS)-Workloads.

→Kombinieren Sie Microsoft Defender for Containers (Registry-Scannen, Laufzeit-Bedrohungserkennung) mit Azure Policy für AKS (Zulassungskontrolle zur Durchsetzung von Sicherheitsstandards wie keine privilegierten Container) und Netzwerkrichtlinien (für Pod-zu-Pod-Mikrosegmentierung).

Warum: Containersicherheit erfordert einen mehrschichtigen Ansatz: "Shift-Left" in der Registry, präventive Leitplanken bei der Bereitstellung (Zulassungskontrolle), Netzwerkisolierung zur Laufzeit und Laufzeit-Bedrohungserkennung.

Referenz↗

Entwurf einer hochsicheren und leistungsstarken Konnektivität zwischen lokalen Rechenzentren und Azure.

→Verwenden Sie ExpressRoute mit Private Peering als primäre Verbindung, mit einem Site-to-Site VPN als Failover-Backup. Aktivieren Sie MACsec- oder IPsec-Verschlüsselung über ExpressRoute. Verwenden Sie Private Endpoints für den Zugriff auf Azure PaaS-Dienste.

Warum: ExpressRoute bietet eine private, dedizierte Verbindung, die das öffentliche Internet umgeht. Private Endpoints stellen sicher, dass auch PaaS-Verkehr nicht über das Internet läuft. Verschlüsselung über ExpressRoute bietet eine mehrschichtige Verteidigung.

Entwurf maximaler Sicherheit für ein Azure Storage-Konto, das sensible Daten enthält.

→Deaktivieren Sie den öffentlichen Zugriff und den anonymen Zugriff. Verwenden Sie Private Endpoints für den Netzwerkzugriff. Verwenden Sie Managed Identities für die Anwendungsauthentifizierung. Erzwingen Sie die Verschlüsselung mit vom Kunden verwalteten Schlüsseln (CMK). Aktivieren Sie Microsoft Defender for Storage für die Bedrohungserkennung.

Warum: Dieser geschichtete Ansatz adressiert alle wichtigen Sicherheitsvektoren: Netzwerkaussetzung (Private Endpoints), Zugangsdatenverwaltung (Managed Identities), Verschlüsselungskontrolle (CMK) und Laufzeitbedrohungen (Defender for Storage).

Anwendung konsistenten Sicherheitsmanagements und Governance auf lokale und Multicloud-Server.

→Integrieren Sie die Server in Azure Arc. Dies erweitert die Azure-Steuerungsebene und ermöglicht die Verwaltung über Microsoft Defender for Cloud (CSPM/CWP), die Anwendung von Azure Policy (einschließlich Gastkonfiguration) und die Nutzung von Diensten wie Update Management.

Warum: Azure Arc ist die grundlegende Technologie zur Schaffung einer einzigen Management- und Sicherheitsebene über eine hybride und Multicloud-Serverlandschaft hinweg.

Referenz↗

Sicherung des Zugriffs von Remote-Mitarbeitern sowohl auf Internet-/SaaS-Anwendungen als auch auf private Unternehmensanwendungen.

→Implementieren Sie Microsofts Global Secure Access. Nutzen Sie Microsoft Entra Internet Access als Secure Web Gateway (SWG) für SaaS-/Internettraffic. Verwenden Sie Microsoft Entra Private Access als Zero Trust Network Access (ZTNA)-Lösung, um traditionelle VPNs zu ersetzen.

Warum: Dies bietet eine vereinheitlichte, identitätszentrierte SSE-Lösung, die konsistente Sicherheitsrichtlinien anwendet, unabhängig vom Standort des Benutzers oder Ressourcentyps, und sich an modernen Zero Trust-Prinzipien orientiert.

Entwurf eines umfassenden Schutzes für Azure Virtual Machines.

→Aktivieren Sie Microsoft Defender for Servers Plan 2, der Defender for Endpoint (EDR) beinhaltet. Verwenden Sie Just-in-Time (JIT) VM-Zugriff, um Verwaltungsports standardmäßig zu schließen. Nutzen Sie Azure Bastion für sicheren, Broker-basierten administrativen Zugriff ohne öffentliche IPs.

Warum: Dies bietet eine mehrschichtige Verteidigung: JIT und Bastion reduzieren die Angriffsfläche, während Defender for Servers eine fortschrittliche Bedrohungserkennung und -reaktion (EDR) für die Workload selbst bereitstellt.

Schutz hochsensibler Daten während der Verarbeitung (Data-in-Use) vor privilegiertem Zugriff, einschließlich Cloud-Administratoren.

→Verwenden Sie Azure Confidential Computing VMs (z.B. basierend auf AMD SEV-SNP) oder vertrauliche Container auf AKS. Dies schafft eine hardwarebasierte Trusted Execution Environment (TEE), in der Daten und Code während der Ausführung verschlüsselt und isoliert werden.

Warum: Confidential Computing adressiert den letzten Datenzustand (in-use), der nicht durch Verschlüsselung im Ruhezustand oder während der Übertragung abgedeckt ist, und bietet Schutz selbst vor dem Hypervisor und dem Host-Betriebssystem.

Härtung einer komplexen lokalen Active Directory-Umgebung gegen gezielte Angriffe.

→Priorisieren Sie die Implementierung des gestuften Administrationsmodells, um laterale Bewegung zu verhindern. Stellen Sie die Sicherheitsgruppe "Protected Users" und Authentifizierungsrichtliniensilos bereit, um privilegierte Konten vor Angriffen zum Diebstahl von Zugangsdaten (z.B. Pass-the-Hash) zu schützen.

Warum: Diese Kontrollen adressieren die häufigsten und wirkungsvollsten AD-Angriffsvektoren: laterale Bewegung und Zugangsdatendiebstahl. Sie sind kritischer als allgemeine Härtungsmaßnahmen wie LDAP-Signierung.

Implementierung von Zero Trust privilegiertem Zugriff für Administratoren von Azure und Microsoft Entra ID.

→Stellen Sie Microsoft Entra Privileged Identity Management (PIM) bereit. Konvertieren Sie alle dauerhaften privilegierten Zuweisungen in "berechtigt". Konfigurieren Sie zeitgebundene Aktivierung, Genehmigungsworkflows für kritische Rollen und obligatorische Zugriffsüberprüfungen.

Warum: PIM ist der zentrale Microsoft-Dienst zur Implementierung von Just-in-Time (JIT) und Least Privilege-Zugriff für Azure/Entra-Rollen, wodurch das erhebliche Risiko dauerhaft privilegierter Zugriffe eliminiert wird.

Referenz↗

Entwurf einer skalierbaren und verwaltbaren Richtlinienstruktur für den bedingten Zugriff.

→Implementieren Sie ein gestuftes Framework mit Basisrichtlinien für alle Benutzer, erweiterten Richtlinien für sensible Anwendungen und strengen Richtlinien für privilegierten Zugriff. Nutzen Sie Signale wie benannte Standorte und Gerätekonformität, um Reibung in vertrauenswürdigen Szenarien zu reduzieren.

Warum: Eine einzelne, monolithische Richtlinie ist nicht handhabbar. Ein gestufter Ansatz passt die Kontrollstärke an das Risikoniveau an und bietet robuste Sicherheit, wo nötig, ohne unnötige Reibung bei alltäglichen Aufgaben zu verursachen.

Automatisierung und Governance des gesamten Identitätslebenszyklus (Neuzugang, Positionswechsel, Austritt).

→Nutzen Sie Microsoft Entra ID Governance. Implementieren Sie HR-gesteuertes Provisioning, Entra ID Lifecycle Workflows für die Automatisierung, Entitlement Management für Zugriffspakete (Bündelung von Berechtigungen für Rollen) und regelmäßige Zugriffsüberprüfungen zur Bestätigung.

Warum: Dies bietet eine durchgängige, automatisierte Governance-Lösung, die sicherstellt, dass der Zugriff korrekt gewährt, bei Rollenänderungen angepasst und bei Beendigung umgehend widerrufen wird, wodurch das Risiko veralteter Konten und schleichender Privilegien adressiert wird.

Verwaltung des sicheren Zugriffs für verschiedene Arten externer Benutzer (Partner, Kunden).

→Verwenden Sie Microsoft Entra B2B-Zusammenarbeit für Partner und Auftragnehmer, gesteuert durch mandantenübergreifende Zugriffsrichtlinien. Nutzen Sie Microsoft Entra B2C für kundenorientierte Anwendungen, das ein separates, skalierbares Verzeichnis mit anpassbaren User Journeys bereitstellt.

Warum: B2B und B2C sind speziell für unterschiedliche externe Identitätsszenarien konzipiert. Die Verwendung des richtigen Tools vermeidet Sicherheits- und Skalierbarkeitsprobleme, die entstehen, wenn alle externen Benutzer gleich behandelt werden (z.B. durch das Erstellen interner Konten für sie).

Konsistenter Schutz sensibler Daten in Microsoft 365 und Azure.

→Stellen Sie Microsoft Purview Information Protection bereit. Verwenden Sie automatisierte Klassifizierung (sensitive Informationstypen, trainierbare Klassifizierer), um Vertraulichkeitsbezeichnungen anzuwenden. Konfigurieren Sie Bezeichnungen, um den Schutz (Verschlüsselung, Zugriffsbeschränkungen) auf Daten zu erzwingen, wo immer diese sich befinden.

Warum: Datenschutzzentrierter Schutz folgt den Daten selbst. Die automatisierte Klassifizierung in großem Maßstab ist der einzig praktikable Weg, um eine konsistente Kennzeichnung und Schutz über eine große Datenlandschaft hinweg zu gewährleisten.

Sicherung interner und externer APIs gegen gängige Bedrohungen.

→Stellen Sie Azure API Management als einheitliches Gateway bereit. Erzwingen Sie starke Authentifizierung mit OAuth 2.0. Konfigurieren Sie Richtlinien für Ratenbegrenzung und Anforderungsvalidierung. Aktivieren Sie Microsoft Defender for APIs für die Laufzeit-Bedrohungserkennung.

Warum: API-Sicherheit erfordert ein Gateway, das als Richtliniendurchsetzungspunkt fungiert. Die Kombination präventiver Kontrollen (APIM-Richtlinien) mit detektiven Kontrollen (Defender for APIs) bietet eine mehrschichtige Verteidigung gegen API-spezifische Angriffe.

Integration der Sicherheit in eine CI/CD-Pipeline, um Schwachstellen frühzeitig zu finden ("Shift-Left").

→Implementieren Sie GitHub Advanced Security (oder Defender for DevOps). Integrieren Sie automatisierte SAST (Code-Scanning), Abhängigkeitsscanning (SCA) und Geheimnis-Scanning direkt in die CI-Pipeline und den Pull-Request-Prozess. Verwenden Sie Sicherheits-Gates, um Builds mit kritischen Schwachstellen zu blockieren.

Warum: Automatisiertes Scannen innerhalb des Entwickler-Workflows bietet schnelles Feedback, wodurch Schwachstellen frühzeitig behoben werden können, wenn es am kostengünstigsten ist, ohne einen Engpass bei einer Sicherheitsüberprüfung vor der Produktion zu schaffen.

Entwurf einer sicheren und verwaltbaren Lösung für Anwendungsgeheimnisse, Schlüssel und Zertifikate.

→Verwenden Sie Azure Key Vault. Isolieren Sie Tresore pro Anwendung oder Sicherheitsgrenze. Verwenden Sie Managed Identities für Azure-Ressourcen, um auf den Tresor zuzugreifen (keine gespeicherten Zugangsdaten). Aktivieren Sie Soft-Delete und Purge-Schutz. Überwachen Sie mit Defender for Key Vault.

Warum: Key Vault bietet einen zentralisierten, hardwaregestützten und auditierbaren Geheimnisspeicher. Die Verwendung von Managed Identities ist die kritische Komponente, die das "Secret Zero"-Problem eliminiert, wie die Zugangsdaten zum Tresor selbst gesichert werden sollen.

Implementierung einer mehrschichtigen Sicherheit für eine sensible Azure SQL-Datenbank.

→Kombinieren Sie Transparent Data Encryption (TDE) mit vom Kunden verwalteten Schlüsseln (CMK), Always Encrypted für spezifische sensible Spalten, dynamische Datenmaskierung für nicht privilegierte Benutzer, Microsoft Defender for SQL für die Bedrohungserkennung und Azure AD-only Authentifizierung.

Warum: Keine einzelne Kontrolle ist ausreichend. Dieser geschichtete Ansatz schützt Daten im Ruhezustand (TDE), bei der Verwendung (Always Encrypted), vor unautorisiertem Einsehen (Maskierung), vor Bedrohungen (Defender) und gewährleistet eine starke Authentifizierung (Azure AD).

Verhinderung von Datenverlust über E-Mail, Teams, SharePoint und Endpunktgeräte hinweg.

→Stellen Sie Microsoft Purview DLP bereit. Erstellen Sie einheitliche Richtlinien, die für M365-Dienste und Endpunkte gelten. Richten Sie DLP-Regeln an Vertraulichkeitsbezeichnungen aus. Verwenden Sie Endpoint DLP, um Aktionen auf verwalteten Geräten zu steuern (z.B. Kopieren auf USB blockieren).

Warum: Eine einheitliche Richtlinien-Engine gewährleistet eine konsistente Durchsetzung über alle Datenkanäle hinweg. Endpoint DLP ist entscheidend, um den Schutz über die Cloud hinaus auf das Benutzergerät selbst auszudehnen.

Vorbereitung der Datenumgebung einer Organisation für die sichere Bereitstellung von Copilot for Microsoft 365.

→Vor der Bereitstellung konzentrieren Sie sich auf die Informations-Governance. Verwenden Sie Tools wie SharePoint Advanced Management, um zu viele freigegebene Sites und Dateien zu finden und zu beheben. Stellen Sie sicher, dass eine robuste Datenklassifizierungs- und Vertraulichkeitskennzeichnungsstrategie vorhanden und angewendet wird.

Warum: Copilot respektiert bestehende Berechtigungen. Seine Fähigkeit, Informationen schnell sichtbar zu machen, macht bereits bestehende Probleme mit übermäßiger Freigabe zu einem kritischen Risiko. "Ihr Datenhaus in Ordnung bringen" ist eine Voraussetzung für eine sichere KI-Bereitstellung.

Entwurf einer umfassenden Sicherheit für eine geschäftskritische Webanwendung.

→Verwenden Sie Azure Application Gateway mit Web Application Firewall (WAF) im Präventionsmodus. Integrieren Sie SAST/DAST-Scans in die CI/CD-Pipeline. Aktivieren Sie Microsoft Defender for App Service für die Laufzeitüberwachung. Platzieren Sie den App Service auf einem Private Endpoint.

Warum: Dies bietet Schutz auf mehreren Ebenen: am Rand (WAF), im Code (SAST/DAST), auf der Plattform (Defender) und im Netzwerk (Private Endpoint), wodurch ein breites Spektrum von Bedrohungen für Webanwendungen abgedeckt wird.

Entwurf der Authentifizierung für Microservices in AKS, um ohne gespeicherte Zugangsdaten aufeinander und auf Azure PaaS-Dienste zuzugreifen.

→Implementieren Sie Azure AD Workload Identity, damit Kubernetes-Pods Azure AD-Tokens erwerben können. Verwenden Sie ein Service Mesh (z.B. Istio, Linkerd), um Mutual TLS (mTLS) für die gesamte Service-to-Service-Kommunikation innerhalb des Clusters zu erzwingen.

Warum: Dieses Muster eliminiert langlebige Geheimnisse (Passwörter, Schlüssel) vollständig aus der Anwendungsumgebung und verbessert die Sicherheitslage erheblich. Workload Identity übernimmt die Nord-Süd-Authentifizierung zu Azure, während mTLS die Ost-West-Authentifizierung innerhalb des Clusters übernimmt.

Erfüllung strenger Compliance-Anforderungen (z.B. FIPS 140-2 Level 3) für die Speicherung kryptografischer Schlüssel.

→Verwenden Sie Azure Key Vault Managed HSM. Dies bietet ein dediziertes, Single-Tenant, FIPS 140-2 Level 3 validiertes HSM, das vollständig von Microsoft verwaltet wird, dem Kunden aber die vollständige Kontrolle über die Sicherheitsdomäne gibt.

Warum: Für das höchste Maß an Compliance und Schlüsselkontrolle ist Managed HSM gegenüber den Standard-/Premium-Key Vault-Ebenen erforderlich, die gemeinsam genutzte, Multi-Tenant HSMs (FIPS 140-2 Level 2) verwenden.

Schutz des Anwendungsentwicklungsprozesses vor Bedrohungen wie kompromittierten Abhängigkeiten oder bösartiger Code-Injektion.

→Entwerfen Sie eine sichere Pipeline unter Verwendung privater Paket-Registries (z.B. Azure Artifacts), Abhängigkeitsscanning (SCA), Generierung einer Software Bill of Materials (SBOM), Artefakt-Signierung und Herkunftsprüfung.

Warum: Dies adressiert mehrere Stufen der Lieferkette: Kontrolle der Eingaben (private Registry), Validierung von Komponenten (SCA, SBOM) und Sicherstellung der Integrität der Ausgaben (Signierung, Herkunft).