Azure-Sicherheitsrisiken und Gegenmaßnahmen

Wiz Expertenteam
Das Wichtigste auf einen Blick
  • Azure-Sicherheitsrisiken entstehen meist durch Fehlkonfigurationen, zu weit gefasste Berechtigungen und Lücken bei Identität oder Datensicherheit.

  • Das Verständnis der geteilten Verantwortung zwischen Microsoft und Kunden ist entscheidend.

  • Typische Risikobereiche sind Identitätsverwaltung, Durchsetzung von Richtlinien, Sicherheit von serverless-Anwendungen und Containern, Datenspeicherung sowie die Verwaltung von Secrets.

  • Frühzeitiges Erkennen von Risiken und kontinuierliche Überwachung sind unverzichtbar.

  • Spezialisierte Tools schaffen Transparenz, priorisieren Risiken und vereinfachen die Behebung.

Häufige Azure-Sicherheitsrisiken im Überblick

Azure-Sicherheitsrisiken sind Schwachstellen, Fehlkonfigurationen und Bedrohungen, die eine Microsoft-Azure-Umgebung gefährden können. Mögliche Folgen sind Datenschutzverletzungen, unbefugter Zugriff oder Betriebsunterbrechungen.

Das Shared Responsibility Model in Azure

Sicherheit in Azure beruht auf geteilter Verantwortung. Microsoft sichert die zugrunde liegende Cloud-Infrastruktur ab. Kunden verantworten den Schutz von Daten, Identitäten, Anwendungen und Konfigurationen innerhalb von Azure.

Die sechs größten Azure-Sicherheitsrisiken

1. Komplexität von Microsoft Entra ID

Die Komplexität im Identitätsbereich stellt eine kritische Herausforderung dar. Zu den typischen Problemen zählen:

  • falsch konfigurierte SAML-Föderation;

  • fehlerhaft vergebene Administratorberechtigungen;

  • Schwachstellen bei der Synchronisierung von Alt-Konten;

  • schwache Passwortrichtlinien;

  • der Missbrauch von Service Principals.

Best Practices:

  • Multi-Faktor-Authentifizierung (MFA) schützt alle Konten.

  • Vorlagen für Conditional Access setzen einheitliche Zugriffsregeln durch.

  • Microsoft Entra Password Protection wehrt schwache und kompromittierte Passwörter ab.

  • Richtlinien auf Basis des Zugriffsrisikos begrenzen verdächtige Anmeldungen.

  • Zertifikatsbasierte Authentifizierung sichert Service Principals zusätzlich ab.

2. Fehlkonfigurationen bei Azure Resource Manager und Richtlinien

Fehlkonfigurationen der Infrastruktur entstehen, wenn ARM-Vorlagen und Richtlinien Sicherheitsmängel enthalten, die sich über ganze Umgebungen hinweg vervielfachen. Zu weit gefasste Richtlinien lassen unsichere Deployments an Sicherheitsprüfungen vorbeigehen.

Best Practices:

  • Azure DevOps oder CI/CD-Pipelines automatisieren Deployments und reduzieren manuelle Fehler.

  • Azure-Richtlinien schränken Standorte, Ressourcentypen und Konfigurationen gezielt ein.

  • Ein Test der Richtlinien in Nicht-Produktionsumgebungen deckt Probleme vor dem produktiven Einsatz auf.

  • Das Azure Security Center meldet Fehlkonfigurationen und macht sie sichtbar.

3. Sicherheit von serverless-Anwendungen

Azure Functions und Logic Apps erzeugen Risiken durch folgende Schwachstellen:

  • öffentlich erreichbare Endpunkte ohne Authentifizierung;

  • Autorisierungsfehler, die privilege escalation ermöglichen;

  • fehlerhaften Funktionscode, der sensible Daten preisgibt.

Best Practices:

  • Azure API Management steuert den Zugriff auf APIs.

  • Regelmäßige Prüfungen und Audits kontrollieren den API-Zugriff.

  • Sichere Programmierpraktiken mit Eingabevalidierung verhindern gängige Angriffe.

  • Regelmäßiges Penetration Testing und Vulnerability Scanning decken offene Schwachstellen auf.

4. Bedrohungen für die Datenspeicherung in der Cloud

Schwachstellen bei der Datenspeicherung entstehen durch kompromittierte Zugriffstoken und falsch gesetzte Berechtigungen. Zu den wichtigsten Bedrohungen zählen:

  • der Diebstahl von Zugangsdaten über Phishing oder Malware;

  • Sicherheitsvorfälle bei Dritten, die einen versteckten Zugang eröffnen;

  • automatisiertes Scannen, das öffentlich zugängliche Konten aufspürt;

  • Insider-Bedrohungen durch böswillige Mitarbeitende.

Best Practices:

  • Das Prinzip der geringsten Berechtigung in Verbindung mit Shared Access Signatures begrenzt den Zugriff.

  • Microsoft Defender for Storage überwacht Speicherkonten auf Bedrohungen.

  • Verschlüsselung im Ruhezustand schützt gespeicherte Daten.

  • Zero-Trust-Mechanismen und kontinuierliche Überwachung sichern den Zugriff dauerhaft ab.

  • Eine Prüfung externer Partner vor der Integration senkt das Risiko durch Dritte.

5. Schwachstellen in Azure Container Registry und AKS

Schwachstellen bei Containern gefährden den gesamten Anwendungs-Stack. Häufige Ursachen sind:

  • fehlerhafte Container Images mit Malware oder veralteten Dependencies;

  • kompromittierte Build-Pipelines, die das Einschleusen von Schadcode erlauben;

  • AKS-Fehlkonfigurationen mit unzureichendem RBAC und schwachen Richtlinien.

Best Practices:

  • Tools wie Trivy oder Clair prüfen Container Images auf Schwachstellen.

  • Azure CNI und Kubernetes-Netzwerkrichtlinien trennen den Datenverkehr sauber.

  • Konsequente Aktualisierung der Image-Abhängigkeiten schließt bekannte Lücken.

  • Microsoft Defender for Containers überwacht Container-Workloads laufend.

  • Zugriffskontrollen und RBAC sichern die Build-Pipelines ab.

6. Mängel bei der Verwaltung von Azure Key Vault

Fehler bei der Verwaltung von Secrets führen durch folgende Ursachen zu Schwachstellen:

  • zu weit gefasste Zugriffsberechtigungen;

  • unzureichende Richtlinien zur Rotation;

  • mangelnde Überwachung der Zugriffsmuster;

  • weitreichende Offenlegung von Zugangsdaten, die ganze Organisationen betrifft.

Best Practices:

  • Klare Richtlinien regeln die Rotation von Secrets.

  • Fein abgestufte Zugriffskontrolle über Microsoft Entra ID begrenzt Berechtigungen.

  • Infrastructure as Code automatisiert die Konfiguration von Key Vault reproduzierbar.

  • Conditional-Access-Richtlinien schränken den Zugriff zusätzlich ein.

Vorgehen zur Identifikation von Azure-Sicherheitsrisiken

Ein praxistaugliches Vorgehen umfasst folgende Schritte:

  • eine Bestandsaufnahme aller Abonnements, Ressourcengruppen, Virtual Machines, Speicherkonten und Anwendungen erstellen;

  • Zugriffskontrollen auf zu weit gefasste Rollen prüfen;

  • mit Azure Policy oder dem Security Center nach Fehlkonfigurationen scannen;

  • öffentlichen Speicher und unverschlüsselte Datenbanken auf offengelegte Daten kontrollieren;

  • Workloads und Container auf Schwachstellen überwachen;

  • Risiken miteinander verknüpfen, um komplexe Angriffspfade zu erkennen.

Mehr Sicherheit durch spezialisierte Drittanbieter-Lösungen

Native Azure-Tools bieten oft nicht die kontextbezogene Analyse, die komplexe Angriffspfade sichtbar macht. Spezialisierte Lösungen liefern folgende Funktionen:

  • durchgängiges Scannen aller Ressourcen;

  • eine priorisierte Bewertung der Risiken;

  • Shift-Left (Vorverlagerung der Sicherheit in den Entwicklungsprozess);

  • Überwachung von Bedrohungen in real-time;

  • Schutz auf Code-Ebene über Infrastructure as Code hinweg;

  • Compliance-Management mit vorgefertigten Kontrollmaßnahmen.