Wie sicher ist die Infrastruktur von Microsoft Azure?

Aufgrund der sich immer schneller verändernden Wettbewerbsbedingungen in den heutigen Märkten, benötigen Unternehmen mehr Flexibilität und Skalierbarkeit als je zuvor. Deshalb migrieren immer mehr Betriebe und Firmen Ihre Infrastruktur in die Cloud. Zusätzlich können sie so Ihre Kosten reduzieren und müssen sich nicht mehr selbst um die Hardware kümmern.

Microsoft, der wahrscheinlich größte und etablierteste Anbieter, brachte 2010 Azure auf den Markt, eine Infrastructure as a Service (IaaS) Cloud-Plattform. Durch die native Integration der Microsoft-Dienste und des großen Funktionsumfang hat sich der Service auch in Deutschland schnell verbreitet und stellt die meistgenutzte Plattform dar.

Die Vorteile hinsichtlich Flexibilität und Skalierbarkeit sowie die großen Einsparpotenziale sind dabei wahrscheinlich unumstritten. Wie sieht es jedoch mit der Sicherheit von Microsoft Azure aus? Sind Ihre Systeme und Daten genauso geschützt und Ihre Geschäftsgeheimnisse gewahrt wie bei der eigenhändigen Verwaltung Ihrer Infrastruktur oder der Nutzung von Managed Services? Diese Fragen beantworten wir in diesem Beitrag.

Der sichere Aufbau der Netzwerk-Infrastruktur von Azure

Bei Microsoft Azure handelt es sich streng genommen um ein gemeinsam genutztes Netzwerk. Deshalb hat Microsoft mehrere Mechanismen eingerichtet, um sicherzustellen, dass das Azure-Netzwerk und die Netzwerke der Kunden getrennt und sicher bleiben.

Management-Netzwerke (von Microsoft verwaltete Netzwerke) und Kundennetzwerke sind in Azure isoliert, um die Leistung zu verbessern und sicherzustellen, dass der über die Plattform laufende Datenverkehr sicher ist. Die Management-Netzwerke werden von Microsoft verwaltet und sind nur für Geräte und Administratoren verfügbar, um sich mit Azure zu verbinden.

Zugriffseinschränkungen und privilegierte Zugriffe

Wenn sich Geräte oder Administratoren mit Azure verbinden wollen, stellen Kontrollen wie Just-in-Time-Zugriff und privilegierte Zugriffsarbeitsplätze sicher, dass nicht-autorisierte Personen keinen Zugang zum Azure-Netzwerk erhalten. Darüber hinaus werden die Netzwerkverkabelung, die Geräte zur Unterstützung und Sicherung des Netzwerks sowie die Integration von Systemen zur Überwachung des Netzwerks von Microsoft verwaltet.

Die Kundennetzwerke sind von den Verwaltungsnetzwerken getrennt, um sie vor Angriffen auf die Verwaltungsnetzwerke zu schützen. Zusätzlich sind sie durch Netzwerkvirtualisierung voneinander getrennt, sodass Kunden keinen Zugriff auf die Netzwerke anderer Kunden erhalten können.

Die Verschlüsselung bei der Datenübertragung in Azure

Daten auf der Azure-Plattform werden bei der Übertragung immer verschlüsselt, mit Ausnahme von Daten, die sich innerhalb der vom Kunden kontrollierten Netzwerke bewegen (wie Azure Virtual Networks und ExpressRoute). Es liegt in der Verantwortung des Kunden, Daten innerhalb eines von ihm kontrollierten Netzwerks zu verschlüsseln. Diese Verschlüsselung kann jedoch in der Regel durch Ihren Azure-Dienstleister übernommen werden, sodass auch hierfür kein manuelles Zutun Ihrerseits mehr notwendig ist.

Azures Schutz gegen DDoS-Angriffe und Cyberattacken

Azure verfügt außerdem über eingebaute Mechanismen zum Schutz vor verteilten Denial-of-Service-Angriffen (DDoS). DDoS-Angriffe versuchen, den Zugriff auf Dienste zu stören, indem sie so viel Datenverkehr erzeugen, dass dieser die Kapazität übersteigt. DDoS-Schutzmechanismen sind in die Azure-Plattform integriert, um sicherzustellen, dass Angriffe Ihre Dienste nicht zum Erliegen bringen. Diese Schutzmaßnahmen überwachen kontinuierlich den Datenverkehr und verwenden sogenannte Scrubber und die Erstellung von Kundenverkehrsprofilen, um diese Angriffe zu erkennen und dann abzuwehren. Dabei kann Microsoft auf die extensive Erfahrung beim Schutz von Diensten vor DDoS-Attacken zurückgreifen, die das Unternehmen mit Diensten wie Microsoft 365, Teams und Xbox sammeln konnte.

Ständige Sicherheitstests, -optimierung und Monitoring in Azure

Microsoft beschäftigt nicht nur alleine über 3.500 Cybersecurity-Experten, sondern verwendet zusätzlich modernster Sicherheitstests, um die Azure-Infrastruktur zu schützen. Hierzu gehören das sogenannte rote und blaue Team, die jeweils aus ca. 200 Experten bestehen.

Im Zusammenspiel identifizieren diese Teams laufend alle möglichen Schwachstellen des Azure-Systems. Hierbei versucht das rote Team, die Sicherheitsmechanismen der Infrastruktur zu knacken und das blaue Team arbeitet in Echtzeit daran, diese Übungsangriffe zu verhindern.

Hierdurch wird nicht nur vom blauen Team Wissen darüber gesammelt, wie Angriffe aktiv unterbunden werden können. Sondern zusätzlich sammelt das rote Team Erkenntnisse darüber, an welchen Stellen Angriffe potenziell möglich sein könnten. Hierdurch kann Microsoft diese Lücken präventiv schließen, bevor richtige Hacker, die eine ernste Bedrohung darstellen könnten, auch nur davon erfahren.