Erhöhte Sicherheit für Azure-VMs
23. August 2017Die Systembetreuer stehen vor unterschiedlichen Herausforderungen. Zum einen sollen Kosten gespart, Automatisierungsfunktionen sinnvoll genutzt, das Management vereinfacht, genügend Compute- und Storage-Ressourcen bereitgestellt werden und zum anderen dabei darf die Sicherheit nicht vernachlässig werden. Dabei ist es nebensächlich, ob die Administratoren auf „ihr“ lokales Rechenzentrum, RZ bauen (On-Premise), nur auf Cloud-Angebote zurückgreifen, oder eine Mischung aus beiden Welten favorisieren (Hybrid-Cloud): Die Anforderungen bleiben oftmals dieselben.
Beim Thema Cloud und Hybrid-Cloud versucht Microsoft mit seinen Azure- und Azure-Stack-Produkten zu punkten. Bei jeder „neuen“ Generation werden hierbei Features hinzugefügt, und auch in Punkto Sicherheit wird einiges getan, um der aktuellen Bedrohungslage Paroli zu bieten.
Mit „Just-in-Time VM Access“ möchte Microsoft die Sicherheit für Azure-basierte VMs erhöhen. Denn um den Administratoren entsprechende Konfigurationsmöglichkeiten zu bieten– etwa per Powershell Remote oder RDP-Verbindung (Remote Desktop Protocol) – müssen bestimmte Ports geöffnet sein. Dies kann allerdings auch ein Einfallstor für Dritte darstellen, vor allem wenn die Ports dauerhaft geöffnet, und die VMs aus dem Internet erreichbar sind. Da man weder auf die Internetverbindung verzichten kann, noch auf die Möglichkeit des Remote-Zugriffs, geht Microsoft den Weg, die Ports zunächst dauerhaft zu schließen, bis ein Administrator Zugriff auf diese VM benötigt. In diesem Fall wird eine entsprechende Vorlage eingesetzt, und die benötigtem Ports (etwa für den RDP-Zugriff) zeitweise bereitgestellt. Dazu müssen zwei Voraussetungen erfüllt sein:
- Das Azure Security Center wird vorausgesetzt (nur in kostenpflichtigen Azure-Abos verfügbar) und
- mindestens eine VM muss einer „NSG (Network Security Group)“ zugewiesen werden.
Zusätzlich ist noch ein entsprechendes Plugin für die Powershell verfügbar (Azure-Security-Center Powershell Module). Diese Features lassen sich für einzelne VMs oder ganze Gruppen aktivieren. Auf diese Weise lassen sich Bruteforce-Angriffe auf die Remote-Anmeldedaten wirkungsvoll begrenzen, denn die jeweiligen Ports werden ja nur bei Bedarf geöffnet. Weiterführende Informationen finden die Systembetreuer auf der entsprechenden Seite von Microsoft, sowie dem Azure-Youtube-Kanal.