Schutz virtueller Azure-Maschinen mit Azure Security Center (Defender for Cloud)

Schutz virtueller Azure-Maschinen mit Azure Security Center (Defender for Cloud)

01.08.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Verwendung von Microsoft Defender for Cloud (ehemals Azure Security Center) zum Schutz von Azure Virtual Machines (VMs) anleiten. Defender for Cloud ist eine umfassende Lösung für Cloud Security Posture Management (CSPM) und Cloud Workload Protection (CWPP), die Transparenz, Sicherheitsempfehlungen, Bedrohungserkennung und Schutzfunktionen für VMs bietet und sicherstellt, dass diese sicher und konform bleiben [1].

Einführung

Virtuelle Maschinen sind ein grundlegender Bestandteil vieler Cloud-Infrastrukturen und hosten kritische Anwendungen, Datenbanken und wichtige Dienste. Die Sicherheit von VMs in der Cloud liegt jedoch in der gemeinsamen Verantwortung des Cloud-Anbieters (Azure) und des Kunden. Fehlkonfigurationen, veraltete Software, bekannte Schwachstellen und unbefugter Zugriff können VMs einer Vielzahl von Cyber-Bedrohungen aussetzen. Microsoft Defender für Cloud vereinfacht den Schutz von VMs, indem es eine einheitliche Sicht auf den Sicherheitsstatus bietet, Schwachstellen proaktiv identifiziert und erweiterten Bedrohungsschutz bietet – alles nativ in die Azure-Umgebung integriert [2].

Dieser praktische Leitfaden behandelt die Integration von VMs mit Defender für Cloud, die Aktivierung des Defender für Server-Plans, die Analyse und Umsetzung von Sicherheitsempfehlungen, die Konfiguration des Just-in-Time-Zugriffs (JIT) und die Erkennung von Bedrohungen. Es werden Schritt-für-Schritt-Anleitungen, beispielhafte Azure CLI-Befehle und Anweisungen bereitgestellt, damit der Leser eine robuste VM-Schutzstrategie implementieren kann, die Angriffsfläche verringert und die Cyber-Resilienz seiner Azure-Infrastruktur stärkt.

Warum ist Microsoft Defender for Cloud für VMs von entscheidender Bedeutung?

  • Security Posture Management (CSPM): Bewertet die VM-Konfiguration kontinuierlich anhand bewährter Sicherheitspraktiken und regulatorischer Standards und gibt umsetzbare Empfehlungen.
  • Workload Protection (CWPP): Bietet erweiterten Bedrohungsschutz, einschließlich Malware-Erkennung, Anwendungskontrolle, Dateiintegritätsüberwachung und Netzwerkschutz für VMs.
  • Zentralisierte Sichtbarkeit: Konsolidiert Sicherheitswarnungen und Empfehlungen aus mehreren Quellen in einem einzigen Dashboard und vereinfacht so die Sicherheitsverwaltung.
  • Just-in-Time (JIT)-Zugriff: Reduziert die Angriffsfläche von VMs, indem der Zugriff auf Verwaltungsports nur bei Bedarf und für einen begrenzten Zeitraum beschränkt wird.
  • Native Integration: Lässt sich nahtlos in andere Azure-Dienste und Microsoft 365 Defender-Lösungen integrieren und bietet so ein einheitliches Sicherheitserlebnis.
  • Automatisierung: Ermöglicht die Automatisierung der Schwachstellenkorrektur und der Reaktion auf Vorfälle und optimiert so den Sicherheitsbetrieb.

Voraussetzungen

Um Azure Virtual Machines mit Azure Security Center zu schützen, benötigen Sie die folgenden Elemente:

  1. Aktives Azure-Abonnement: Ein Azure-Abonnement zum Erstellen und Verwalten von Ressourcen.
  2. Administratorzugriff: Ein Konto mit der Rolle „Besitzer“, „Mitwirkender“ oder „Sicherheitsadministrator“ im Azure-Abonnement oder in der Ressourcengruppe, in der sich die VMs befinden.
  3. Vorhandene Azure Virtual Machines: Azure-VMs, die Sie schützen möchten. Für dieses Tutorial gehen wir davon aus, dass Sie bereits VMs bereitgestellt haben.
  4. Optional: Azure CLI oder Azure PowerShell: Für Automatisierung und Verwaltung über die Befehlszeile.

Schritt für Schritt: VMs mit Security Center schützen

Lassen Sie uns Security Center konfigurieren, um Ihre Azure-VMs zu schützen.

1. Aktivieren von Microsoft Defender für Cloud in Ihrem Abonnement

Defender für Cloud ist abonnementfähig. Wenn es noch nicht aktiviert ist, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Azure-Portal: „https://portal.azure.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Geben Sie im oberen Suchfeld „Defender for Cloud“ ein und wählen Sie es aus den Ergebnissen aus.
  4. Wählen Sie im Defender for Cloud-Dashboard im linken Navigationsbereich Umgebungseinstellungen aus.
  5. Wählen Sie das Azure-Abonnement aus, das Ihre VMs enthält.
  6. Stellen Sie auf der Seite „Defender-Pläne“ sicher, dass der Defender for Servers-Plan „A“ istaktiviert`. Ist dies nicht der Fall, klicken Sie auf „Aktivieren“ und befolgen Sie die Anweisungen, um es zu aktivieren. Dieser Plan ist für den erweiterten VM-Schutz unerlässlich [4].

2. Onboarding virtueller Maschinen

Bevor Security Center Ihre VMs überwachen und schützen kann, muss auf ihnen der Log Analytics-Agent (auch bekannt als Microsoft Monitoring Agent – MMA) installiert sein. Bei Azure-VMs erfolgt dies normalerweise automatisch, wenn der Defender für Server-Plan aktiviert wird. Für Nicht-Azure-VMs müssen Sie das Onboarding über Azure Arc durchführen.

  1. Nach der Aktivierung von Defender für Server versucht Defender für Cloud, den Log Analytics-Agent automatisch auf allen Azure-VMs im Abonnement bereitzustellen.
  2. Sie können den Agentenstatus im Asset-Inventar im Security Center überprüfen. Filtern Sie nach „Ressourcentyp“ = „Virtuelle Maschinen“.
  3. Klicken Sie auf eine VM, um deren Gesundheitsstatus anzuzeigen und festzustellen, ob der Agent installiert ist.

3. Überprüfung der Sicherheitsempfehlungen

Security Center bewertet Ihre VMs kontinuierlich und gibt Empfehlungen zur Verbesserung Ihres Sicherheitsstatus.

  1. Wählen Sie im Defender for Cloud-Dashboard im linken Navigationsbereich Empfehlungen aus.
  2. Filtern Sie Empfehlungen nach „Ressourcentyp“ = „Virtuelle Maschinen“.

  3. Sie sehen eine Liste mit Empfehlungen wie „Schwachstellen in Ihren virtuellen Maschinen sollten gepatcht werden“, „Der JIT-Zugriff auf den Verwaltungsport sollte auf Ihren virtuellen Maschinen angepasst werden“ oder „MFA sollte für Konten mit Leseberechtigungen für Ihre Abonnements aktiviert werden“.

  4. Klicken Sie auf eine Empfehlung (z. B. „Schwachstellen in Ihren virtuellen Maschinen sollten gepatcht werden“), um Details anzuzeigen.

    • Sie sehen eine Beschreibung der Schwachstelle, die möglichen Auswirkungen und eine Liste der betroffenen VMs.
    • Defender für Cloud lässt sich in Microsoft Defender Vulnerability Management integrieren, um eine umfassende Schwachstellenbewertung für Ihre VMs bereitzustellen.

4. Implementierung des Just-in-Time-Zugriffs (JIT) für VMs

Der JIT-Zugriff reduziert die Angriffsfläche Ihrer VMs, indem er sicherstellt, dass Verwaltungsports (z. B. RDP 3389, SSH 22) nur bei Bedarf und für einen begrenzten Zeitraum geöffnet sind.

  1. Wählen Sie im Security Center-Dashboard Workload-Schutz > Just-in-Time-VM-Zugriff aus.

  2. Sie sehen eine Liste der JIT-fähigen VMs. Wählen Sie eine VM aus und klicken Sie auf JIT auf VM aktivieren.

  3. Konfigurieren Sie die Ports, die durch JIT geschützt werden müssen (z. B. 3389 für RDP, 22 für SSH).

  4. Definieren Sie die „Maximale Anforderungszeit“ (z. B. 3 Stunden) und die zulässigen „Protokolle“.
  5. Legen Sie die „Genehmigten Quell-IP-Adressen“ fest (optional, um den Zugriff weiter einzuschränken).
  6. Klicken Sie auf Speichern.

JIT-Zugriff anfordern

Wenn ein Benutzer auf die VM zugreifen muss:

  1. Wählen Sie im Security Center-Dashboard Workload-Schutz > Just-in-Time-VM-Zugriff aus.
  2. Wählen Sie die VM aus, auf die Sie zugreifen möchten, und klicken Sie auf Zugriff anfordern.
  3. Geben Sie den Port, die Zugriffszeit und die Quell-IP-Adresse an.
  4. Klicken Sie auf Ports öffnen.

5. Bedrohungserkennung und Sicherheitswarnungen

Defender for Cloud überwacht Ihre VMs kontinuierlich auf verdächtige Aktivitäten und Bedrohungen.

  1. Wählen Sie im Defender for Cloud-Dashboard im linken Navigationsbereich Sicherheitswarnungen aus.

  2. Sie sehen eine Liste der für Ihre VMs generierten Warnungen, kategorisiert nach Schweregrad (z. B. „VM-Brute-Force-Versuch“, „Verdächtige PowerShell-Aktivität“).

  3. Klicken Sie auf eine Warnung, um Details anzuzeigen, einschließlich:

    • Beschreibung: Erklärt die Art der Bedrohung.
    • Betroffene Ressourcen: Die betroffene VM.
    • Empfohlene Maßnahmen: Schritte zur Untersuchung und Behebung der Warnung.
    • Zeitleiste des Angriffs: Eine visuelle Darstellung der Abfolge der Ereignisse.

Validierung und Tests

Zur Validierung des Schutzes von VMs mit Security Center gehört die Überprüfung, ob Empfehlungen generiert, Schutzmaßnahmen angewendet und Warnungen erkannt werden.

1. Sicherheitsempfehlungen prüfen

  1. Erstellen Sie eine neue Azure-VM, ohne alle empfohlenen Sicherheitseinstellungen anzuwenden (z. B. keine Festplattenverschlüsselung, keine Sicherheitsupdates).
  2. Warten Sie einige Stunden, bis Security Center die VM bewertet.
  3. Überprüfen Sie im Security Center Empfehlungen-Dashboard, ob Sicherheitsempfehlungen für die neue VM generiert wurden.

2. JIT-Zugriff testen

  1. Versuchen Sie, auf einen JIT-geschützten Port (z. B. RDP) zuzugreifeneine VM, ohne JIT-Zugriff anzufordern.
    • Erwartetes Ergebnis: Die Verbindung sollte abgelehnt werden.
  2. Fordern Sie JIT-Zugriff für die gewünschte VM und den gewünschten Port an.
  3. Versuchen Sie innerhalb des vorgegebenen Zeitraums erneut, auf den Port zuzugreifen.
    • Erwartetes Ergebnis: Die Verbindung sollte erfolgreich sein.

3. Simulieren einer Sicherheitswarnung

  1. Versuchen Sie auf einer durch Security Center geschützten Test-VM eine Aktivität auszuführen, die eine Warnung generieren könnte (z. B. mehrere Versuche, sich über RDP mit falschen Anmeldeinformationen anzumelden, um Brute Force zu simulieren).
  2. Warten Sie einige Minuten.
  3. Überprüfen Sie im Defender for Cloud-Dashboard Sicherheitswarnungen, ob eine Warnung für die VM generiert wurde.

Sicherheitstipps und Best Practices

  • Defender für Server aktivieren: Stellen Sie sicher, dass der Defender für Server-Plan für alle Abonnements und VMs aktiviert ist, um den umfassendsten Schutz zu gewährleisten.
  • Empfehlungen befolgen: Überwachen und implementieren Sie regelmäßig die von Defender for Cloud bereitgestellten Sicherheitsempfehlungen, um einen stabilen Sicherheitsstatus aufrechtzuerhalten.
  • JIT-Zugriff für Management-Ports: Verwenden Sie immer JIT-Zugriff für VM-Management-Ports, um die Angriffsfläche zu minimieren und sich vor Brute-Force-Angriffen und Port-Scans zu schützen.
  • Integration mit Azure Policy: Verwenden Sie Azure Policy, um Sicherheitsstandards durchzusetzen und sicherzustellen, dass VMs von Anfang an mit sicheren Konfigurationen bereitgestellt werden.
  • Patch-Management: Halten Sie das Betriebssystem und die Anwendungen auf Ihren VMs mit den neuesten Sicherheitspatches auf dem neuesten Stand.
  • Prinzip der geringsten Rechte: Gewähren Sie Benutzern und Diensten, die mit Ihren VMs interagieren, nur die erforderlichen Berechtigungen.
  • Protokollüberwachung: Integrieren Sie VM-Sicherheitsprotokolle mit Azure Monitor und Microsoft Sentinel für eine zentralisierte Analyse und erweiterte Bedrohungserkennung.

Allgemeine Fehlerbehebung

  • VMs werden in Defender für Cloud nicht angezeigt: Überprüfen Sie, ob das Abonnement integriert ist und der Defender für Server-Plan aktiv ist. Stellen Sie sicher, dass der Log Analytics-Agent auf der VM installiert ist und ausgeführt wird. Überprüfen Sie die Netzwerkkonnektivität der VM mit den Log Analytics-Endpunkten.
  • Keine Empfehlungen für VMs generiert: Es kann einige Zeit dauern, bis Security Center nach dem Onboarding VMs bewertet. Stellen Sie sicher, dass der Agent Daten sendet. Suchen Sie nach konfigurierten Ausschlüssen, die möglicherweise die Bewertung verhindern.
  • JIT-Zugriff funktioniert nicht: Stellen Sie sicher, dass JIT für die VM und für die richtigen Ports aktiviert ist. Stellen Sie sicher, dass die Quell-IP-Adresse in der JIT-Zugriffsanforderung mit Ihrer öffentlichen IP-Adresse übereinstimmt. Überprüfen Sie die Azure-Aktivitätsprotokolle auf JIT-bezogene Fehler.
  • Fehlende Sicherheitswarnungen: Stellen Sie sicher, dass der Defender für Server-Plan aktiv ist. Stellen Sie sicher, dass der Log Analytics-Agent Sicherheitsdaten sendet. Überprüfen Sie, ob Sie Warnungsausschlüsse konfiguriert haben.
  • Agent-Leistungsprobleme: Wenn der Log Analytics-Agent Leistungsprobleme auf Ihrer VM verursacht, überprüfen Sie Ihre Ressourcenanforderungen und erwägen Sie eine Anpassung Ihrer Datenerfassungseinstellungen.

Fazit

Microsoft Defender for Cloud ist ein unverzichtbares Tool zum Schutz virtueller Azure-Maschinen und bietet einen integrierten Ansatz für die Verwaltung des Sicherheitsstatus und den erweiterten Bedrohungsschutz. Durch die Aktivierung des Defender for Servers-Plans, die Implementierung von Sicherheitsempfehlungen, die Konfiguration des Just-in-Time-Zugriffs und die Überwachung von Warnungen können Unternehmen die mit ihren Cloud-VMs verbundenen Risiken erheblich reduzieren. Durch den effektiven Einsatz von Security Center in Kombination mit bewährten Sicherheitsmethoden und der Integration mit anderen Azure-Diensten wird sichergestellt, dass VMs ein sicheres und belastbares Gut in Ihrer Cloud-Infrastruktur sind. Mit diesem praktischen Leitfaden sind Sicherheitsexperten bestens gerüstet, um ihre Azure Virtual Machines zu schützen und gleichzeitig eine sichere und konforme Umgebung aufrechtzuerhalten.

Referenzen:

[1] Microsoft Learn. Was ist Microsoft Defender für Cloud?. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [2] Microsoft Learn. Schützen Sie Ihre Server mit Defender for Servers. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan [3] Microsoft Learn. Just-in-Time (JIT)-Zugriff auf die VM. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [4] Microsoft Learn. Unterstützungsmatrix für virtuelle Maschinen. Verfügbar unter: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/support-matrix-compute