Für die Sicherheit von AWS-Managementkonfigurationen liefert die Benchmark-Richtlinie „Amazon Web Services Foundations“ des Center for Internet Security (CIS) eine gute Basis. Viele dieser Cloud-Sicherheitsgrundlagen, haben auch in anderen Cloud-Umgebungen ihre Berechtigung und lassen sich beispielsweise auf Microsoft Azure anwenden.
Best Practices zur Sicherheitskonfiguration geben Nutzern eine Handlungsempfehlung für ein standardisiertes Implementierungsverfahren von Cloud-Umgebungen.
1. Identitätsmanagement mit Azure Active Directory
Wie für die sichere AWS-Management-Konfiguration ist Multi-Faktor-Authentifizierung auch hier eine kritische Komponente. Sei es, um Phishing zu bekämpfen oder den Schaden durch verloren gegangene oder kompromittierte Anmeldeinformationen zu begrenzen. Zumindest sollte jeder administrative Azure Active Directory-Benutzer und jeder, der Ressourcen erstellen und ändern darf, Multi-Faktor-Authentifizierung einsetzen. Innerhalb der Passwortrichtlinie sollte die entsprechende Einstellung komplexe Passwörter gewährleisten.
Es ist oft nicht ganz einfach, den Überblick zu behalten, welche Berechtigungen innerhalb benutzerdefinierter Rollen existieren. Deshalb sollte man sämtliche benutzerdefinierten Rollendefinitionen überprüfen und sicherstellen, dass keine Rolle über unnötige Administratorrechte verfügt, wo es ausreicht, Standardrollen zuzuweisen.
Stellen Sie sicher, dass nicht unnötig viele Gastbenutzer im Azure Active Directory erstellt werden. Grundsätzlich sollten Sie die Benutzereinstellung so setzen, dass Gäste nur über eingeschränkte Rechte verfügen und keine weiteren Benutzer einladen dürfen. Wenn Sie Active Directory Federation Services verwenden, damit ein Benutzer sich mit seinem lokalen Passwort bei Azure-AD-basierten Diensten anmelden kann, ist es wichtig, auch Ihr lokales Active Directory auf Sicherheit und Compliance hin zu überprüfen.
Im Microsoft Azure Security Center stehen eine Reihe hilfreicher Sicherheitsfunktionen zur Verfügung, wobei Microsoft die Erkennung und Implementierung eines Großteils von ihnen automatisiert hat. Die Sammlung von Sicherheitsdaten für virtuelle Maschinen sollte standardmäßig aktiviert sein. Dazu braucht man bei virtuellen Computern und anderen Computerressourcen einen Agent, der die Überwachungsdaten automatisch erfasst.
Wenn der Überwachungsagent läuft, sollten Sie sicherstellen, dass alle empfohlenen Einstellungen in der Sicherheitsrichtlinie aktiviert sind. Die Empfehlungen decken eine Vielzahl von Sicherheitseinstellungen ab, z. B. wann Betriebssystem-Patches erforderlich sind oder wo die Verschlüsselung nicht aktiviert wurde. Machen Sie es sich zur Gewohnheit, die „Empfehlungen“ im Blade des Security Center dahingehend zu überprüfen, dass keine Sicherheitsaufgaben offen sowie alle Empfehlungen berücksichtigt und nach Möglichkeit umgesetzt worden sind.
Stellen Sie sicher, dass in der Security Center Policy eine aktuelle E-Mail-Adresse und Telefonnummer für den zentralen Kontakt hinterlegt ist. So hat Microsoft bei sicherheitsrelevanten Vorfällen innerhalb des Unternehmens einen eindeutigen Ansprechpartner. Zu guter Letzt sollten Sie ein Upgrade von Free Azure auf die Standardstufe in Betracht ziehen, um auf erweiterte Sicherheitsoptionen zugreifen zu können. Die kostenpflichtige Version erlaubt zusätzlich die Bedrohungserkennung auf virtuellen Maschinen und Datenbanken.
3. Netzwerk mit Microsoft SQL Server
Es ist wichtig, die Anfälligkeit für Brute-Force-Angriffe zu senken, indem Sie den Zugriff auf ssh und rdp in den Netzwerksicherheitsgruppen beschränken. Unabhängig von der gewählten Plattform, sollten die Ports 22 oder 3389 niemals für das Internet geöffnet sein. Wenn Sie mit Microsoft SQL Server arbeiten, steht Ihnen ein separater SQL Server Firewall-Mechanismus außerhalb der Funktion Netzwerksicherheitsgruppen zur Verfügung. Sie sollten die SQL Server-Firewall überprüfen und gewährleisten, dass der Zugriff auf das offene Internet oder auf Netzwerkblöcke, die keinen Zugriff benötigen, nicht gestattet ist.
Es ist nach wie vor sinnvoll auf virtuellen Maschinen Betriebssystem-Firewalls zu verwenden, etwa im Fall einer versehentlichen Fehlkonfiguration der Netzwerksicherheitsgruppe oder bei einem Plattformfehler. Auch Schwachstellen-Scans innerhalb der Infrastruktur sind weiterhin empfehlenswert. Wenn man dabei den „Einsatzregeln für Penetrationstests“ folgt, muss man Microsoft dazu nicht benachrichtigen. Eine Azure-Infrastruktur kann man mit Lösungen zum Schwachstellenmanagement sowohl auf netzwerk- wie hostbasierte Schwachstellen hin überprüfen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
4. Protokollierung mit ausreichender Speicherreserve
In Microsoft Azure gibt es mehrere Protokollierungsfunktionen, die eine wichtige Rolle bei Sicherheits-Audits und Compliance-Anforderungen spielen: „Plattformprotokolle liefern detaillierte Diagnose- und Überwachungsinformationen für Azure-Ressourcen und die Azure-Plattform, von der sie abhängen. Sie werden automatisch generiert, obwohl Sie bestimmte Plattformprotokolle so konfigurieren müssen, dass sie an mindestens ein Ziel weitergeleitet werden, damit sie gespeichert werden.“ Dies ist wichtig, weil man sie benutzt, um Monitoring Alerts für unterschiedliche Verhaltensweisen zu erstellen (siehe unten).
Außerdem sollte für jede Netzwerksicherheitsgruppe die Ablaufprotokollierung und für jede SQL Server-Datenbank die Datenbanküberwachung aktiviert sein. Jede dieser Logging-Funktionen verwendet ein Speicherkonto. Für jede dieser Funktionen sollten Sie ein Speicherkonto erstellen, das für gespeicherte Daten über die Einstellung „Storage Service Encryption“ und für Daten während der Übertragung über die Einstellung „Secure Transfer required“ verschlüsselt wird.
Zusätzlich empfiehlt es sich den Protokollspeicher für eine Aufbewahrung von mehr als 90 Tagen einzustellen oder die Aufbewahrungszeit für jeden einzelnen Protokollierungsfall nach Möglichkeit auf „unbegrenzt“ zu setzen.
5. Monitoring mit Activity Log Alerts
Mithilfe der Activity Log Alerts können Sie verschiedene sicherheitsrelevante Ereignisse überwachen und sicherstellen, dass die zuständigen Stellen benachrichtigt werden, wenn ein verdächtiges oder nicht genehmigtes Verhalten beobachtet wird, z. B. das Ändern von Sicherheitseinstellungen.
Für die folgende Ereignisse sollte man Activity Log Alerts erstellen:
Richtlinienzuweisungen erstellen,
Netzwerksicherheitsgruppe erstellen oder aktualisieren,
Netzwerksicherheitsgruppe löschen,
Regel für Netzwerksicherheitsgruppe erstellen oder aktualisieren,
Regel für Netzwerksicherheitsgruppe löschen,
SQL-Server-Firewall-Regel erstellen oder aktualisieren,
Wie schon erwähnt, sollten die Logs in Konten mit SSL und Festplattenverschlüsselung gespeichert werden. Wenn möglich, sollten Sie jedes Speicherkonto so konfigurieren, dass es Blob-Verschlüsselung, Dateiverschlüsselung und sichere Übertragung verwendet. Schlüssel von Speicherkonten sollten regelmäßig neu generiert werden, um das Risiko kompromittierter Zugangsschlüssel soweit wie möglich zu minimieren. Shared Access-Signaturen sollten nur mit sicherer Übertragung verwendet werden und Ablaufzeiten von höchstens acht Stunden haben, damit der Zugriff nicht auf unbestimmte Zeit gewährt wird.
Jeder öffentliche Zugriff auf Blob- oder Datei-Container sollte sorgfältig geprüft werden, damit er z. B. nur auf öffentlichen Websites verwendet wird. Es gibt geeignete Tools, um den öffentlichen Zugriff auf Speicher-Container zu überprüfen und sogar Datenschutzeinstellungen automatisch zu erzwingen.
7. Sicherheitsdaten auf virtuellen Maschinen
Eine einzigartige Facette der Azure-Sicherheit für virtuelle Maschinen ist ein Agent, der Sicherheitsdaten sammelt. Dieser Agent liefert einen guten Überblick über Ihre Assets und sollte deshalb permanent aktiv sein. Vor allem aber sollte man sich vergegenwärtigen, dass Sicherheit für virtuelle Computer in der Cloud nach ähnlichen Prinzipien funktioniert wie für On-Premises-Betrieb. Stellen Sie sicher, dass Sie aktuelle Betriebssystem- und Software-Patches einspielen und verwenden Sie Endpoint Protection. Nutzen Sie Festplattenverschlüsselung, um gespeicherte Dateien zu verschlüsseln, falls der Speicher selbst kompromittiert wird.
8. Integration von Azure in Microsoft SQL Server
Eines der Hauptverkaufsargumente von Azure ist die Integration in Microsoft SQL Server. Zumindest sollten Sie Ihre SQL Server-Firewall nach einer möglichst strengen Richtlinie konfigurieren und Audit Logs aktivieren, um Einblicke zu Datenschutzverletzungen oder Datenmissbrauch zu bekommen.
Die Microsoft SQL Server Bedrohungserkennung in Azure erkennt SQL-Injection, SQL-Injection-Schwachstellen und andere Anomalien. Auch dabei handelt es sich um eine kostenpflichtige Funktion. Sie gestattet aber einen Defense-in-Depth-Ansatz und sollte nach Möglichkeit genutzt werden. Wenn Sie die Bedrohungserkennung aktivieren, sollten Sie die Benachrichtigungen an den dedizierten Sicherheitskontakt und den jeweiligen Service Owner versenden lassen.
Basis für jedes Azure-Projekt
Diese Best Practices sind eine Grundlage für jede Projektimplementierung innerhalb von Microsoft Azure. Sie lassen sich natürlich erweitern und auf individuelle Installationen hin maßschneidern. Für die meisten der hier besprochenen Empfehlungen funktioniert das mit Bezug auf die Foundations Benchmarks des Center for Internet Security Microsoft Azure.
* Der Autor Ben Layer ist Principal Software Engineer bei Tripwire.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/89/2d89df5a5ff0689a1723cfea75f15a34/0122305480v1.jpeg "Im Oktober 2025 beendet Microsoft die Versorgung von Windows 10 mit kostenlosen Sicherheitsupdates und mustert das Betriebssystem aus. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d2/e8/d2e8a9065d4cd436084acebad38a2f2b/0126787237v1.jpeg "Synology-NAS wird mit C2-Diensten zum Hybrid-Cloud-Knotenpunkt – von Backup über Passwortmanagement bis hin zu KI-gestützter Analyse. (Bild: © ImageFlow - stock.adobe.com)")