Azure Network Security auf Microsoft Azure
Azure Network Security ist eine Sammlung von Sicherheitsdiensten zum Schutz von Netzwerkressourcen in Azure. Die Lösung umfasst Azure Firewall, DDoS Protection, Web Application Firewall (WAF), Network Security Groups (NSGs) und weitere Services, die gemeinsam eine Defense-in-Depth-Strategie ermöglichen.
Die Dienste bieten Schutz auf verschiedenen Ebenen: vom Schutz vor volumetrischen DDoS-Angriffen über stateful Firewall-Funktionen bis hin zu Application-Layer-Schutz für Webanwendungen. Durch zentrale Verwaltung über Azure Firewall Manager und Integration mit Azure Security Center erhalten Unternehmen vollständige Transparenz ihrer Netzwerksicherheit.
Besonders für Unternehmen mit DSGVO-Anforderungen sind alle Azure Network Security Services in europäischen Azure-Regionen verfügbar und erfüllen relevante Compliance-Standards.
Typische Anwendungsfälle
Perimeter-Schutz für Cloud-Workloads: Azure Firewall als zentrale Firewall für ausgehenden und eingehenden Traffic mit Threat Intelligence und IDPS-Funktionen.
DDoS-Abwehr: Azure DDoS Protection schützt öffentliche IP-Adressen vor volumetrischen, protokollbasierten und Resource-Layer-Angriffen mit automatischer Mitigation.
Web Application Protection: Azure Web Application Firewall schützt Webanwendungen vor OWASP Top 10-Bedrohungen, Bot-Angriffen und Zero-Day-Exploits.
Zero Trust Architecture: Implementierung von Mikrosegmentierung mit Network Security Groups und Application Security Groups für granulare Zugriffskontrolle.
Häufig gestellte Fragen zu Azure Network Security
Was ist der Unterschied zwischen NSG und Azure Firewall?
Network Security Groups (NSGs) sind stateless Layer-4-Firewalls für Subnetz- und VM-Level-Filterung basierend auf 5-Tupeln. Azure Firewall ist eine stateful, vollständig verwaltete Firewall mit Layer 7-Funktionen, Threat Intelligence, FQDN-Filterung und zentraler Verwaltung über mehrere VNets hinweg.
Ist Azure DDoS Protection Standard erforderlich?
Azure DDoS Protection Basic ist automatisch aktiviert und kostenlos, bietet aber nur Basisschutz. DDoS Protection Standard bietet erweiterte Mitigation, DDoS Rapid Response Support, Kostengarantie bei DDoS-Angriffen und detaillierte Telemetrie. Für produktive öffentliche Endpunkte wird Standard empfohlen.
Wie funktioniert Azure WAF?
Azure Web Application Firewall kann vor Application Gateway, Front Door oder CDN geschaltet werden. Sie nutzt OWASP ModSecurity Core Rule Sets (CRS) zur Erkennung von SQL Injection, Cross-Site Scripting und anderen Web-Angriffen. Custom Rules ermöglichen spezifische Schutzmaßnahmen.
Kann ich Firewall-Regeln zentral verwalten?
Ja, Azure Firewall Manager ermöglicht zentrale Verwaltung von Firewall-Richtlinien über mehrere Azure Firewalls hinweg. Policies können hierarchisch organisiert und auf verschiedene Virtual Hubs oder VNets angewendet werden.
Wie integriert sich Network Security mit SIEM?
Alle Azure Network Security Services können Logs an Azure Monitor, Log Analytics und Azure Sentinel senden. Zusätzlich können Logs über Event Hub an Drittsysteme wie Splunk oder QRadar weitergeleitet werden.
Was kostet Azure Network Security?
Die Kosten variieren je nach genutzten Services: Azure Firewall ca. 1,00 EUR/Stunde plus Datenverarbeitung, DDoS Protection Standard ca. 2.500 EUR/Monat, WAF ab ca. 0,02 EUR/Policy-Stunde. NSGs sind kostenlos.
Unterstützt Azure Firewall TLS-Inspektion?
Ja, Azure Firewall Premium bietet TLS-Inspektion (SSL Inspection) für ausgehenden HTTPS-Traffic. Zusätzlich enthält Premium IDPS, URL-Filterung und Web-Kategorien-Filterung.
Alternativen
alternatives:
- provider: “aws” product: “network-firewall”
- provider: “gcp” product: “cloud-armor”
Integration mit innFactory
Als Microsoft Solutions Partner unterstützt innFactory Sie bei der Implementierung einer umfassenden Network Security Strategie in Azure. Wir helfen bei Architektur-Design, Security Assessments, Migration und laufendem Security Operations.
Kontaktieren Sie uns für eine unverbindliche Beratung zu Azure Network Security.
