Netzwerksicherheit

Schützen Sie Daten mit Netzwerktechnologien, die Eindringversuche und Angriffe blockieren

Die Sicherheit und die Vertraulichkeit des Netzwerkverkehrs – sowohl in der Cloud als auch On-Premises – sind wichtiger Bestandteil einer jeden Datenschutzstrategie. Eine abgesicherte Netzwerkinfrastruktur verhindert Angriffe, blockiert Schadsoftware und schützt Ihre Daten vor Verlust, nicht autorisierten Zugriffen und Verfügbarkeitsproblemen.

In der öffentlichen Cloud ist die Isolierung der Kundeninfrastruktur von fundamentaler Bedeutung für die Sicherheit. Microsoft Azure, auf dem die meisten Microft-Clouddienste für Unternehmen basieren, realisiert dies vor allem über eine verteilte virtuelle Firewall, partitionierte lokale Netzwerke (LANs) und die physische Trennung von Back-End-Servern und öffentlichen Schnittstellen. Die Kunden können verschiedene, logisch isolierte private Netzwerke bereitstellen. Dabei ist jedes virtuelle Netzwerk von den anderen virtuellen Netzwerken isoliert. Für Kunden mit On-Premises-Umgebungen bietet Windows Server 2016 eine Firewall, Bedrohungsanalysen und eine Vielzahl von Netzwerksicherheitsfeatures.

Sichere Identitäten

Die Microsoft-Clouddienste für Unternehmen auf Basis von Azure nutzen Azure Active Directory (Azure AD) zur Identitätsverwaltung, Authentifizierung und Zugriffssteuerung. Für Kunden mit lokalen Umgebungen stellt Windows Server 2016 Active Directory Domain Services (AD DS) bereit.

Azure Active Directory und AD DS sorgen dafür, dass nur autorisierte Benutzer auf Ihr Netzwerk, Ihre Daten und Ihre Anwendungen zugreifen können. Über Azure Multi-Factor Authentication (MFA) gewähren sie eine äußerst sichere Anmeldung. Mit MFA können Sie die Verifizierung der Benutzeranmeldungen über eine mobile App, einen Telefonanruf oder eine SMS durchsetzen.

Sichere Infrastruktur

Alle einblenden

Microsoft arbeitet mit verschiedenen Netzwerksicherheitstechnologien, um Ihre Clouddienste und Daten zu schützen und Angriffe abzuwehren.

  • Firewalls schützen die Netzwerkgrenzen, Subnetze und lokalen sowie virtuellen Maschinen. Perimeter-Firewalls filtern im Netzwerk eingehende Pakete. Konnte ein schädlicher Netzwerkverkehr die Kontrollen auf Netzwerkebene umgehen, sorgen Betriebssystem-Firewalls für eine weitere Schutzebene. Sie regeln, welche Pakete in Ihr lokales System gelangen.
  • Systeme zur Einbruchserkennung und Einbruchsverhinderung erkennen und identifizieren verdächtige und unerwünschte Aktivitäten, die auf einen Einbruch hinweisen, verwerfen proaktiv unerwünschte Pakete und trennen nicht autorisierte Verbindungen.
  • Partitionierte LANs ermöglichen Ihnen über die Segmentierung Ihrer virtuellen Netzwerke und die Steuerung des Netzwerkverkehrs zwischen den verschiedenen IP-Subnetzen die Trennung des Netzwerkverkehrs.
  • Eine mehrschichtige Topologie ermöglicht die Zuordnung von Subnetzen und separaten Adressräumen für unterschiedliche Workload-Elemente. Die logischen Gruppierungen und Topologien sorgen dafür, dass Sie auf Basis von Workload-Typen unterschiedliche Zugriffsrichtlinien definieren können.
  • Die Netzwerkverkehrsisolierung sorgt dafür, dass Ihre virtuellen Maschinen (VMs) und die Kommunikation im virtuellen Netzwerk privat bleiben.
  • Die standortübergreifende Konnektivität ermöglicht Verbindungen zwischen einem virtuellen Netzwerk und mehreren lokalen Standorten oder anderen virtuellen Netzwerken in Azure über VPN-Gateways oder virtuellen Appliances von Drittanbietern.
  • Zugriffssteuerungslisten sind Regeln, die Sie auf unterschiedlichen Ebenen definieren können, beispielsweise für Netzwerkschnittstellen, einzelne VMs oder virtuelle Subnetze. Anschließend können Sie den Zugriff steuern, indem Sie die Kommunikation zwischen Workloads in einem virtuellen Netzwerk, den Zugriff von Systemen in Ihren lokalen Netzwerken oder die direkte Internetkommunikation zulassen oder verweigern.
  • Das Azure Security Center stellt ein zentrales Portal bereit, über das Sie Ihre in Azure platzierten Ressourcen sichern können. Wenn Sie das Azure Security Center für Ihr Abonnement oder Ihre Ressourcengruppe aktivieren, werden Ihnen Empfehlungen und Warnungen zu Netzwerksicherheitsproblemen bereitgestellt. Über ein zentrales Portal können Sie Ihre Azure-Bereitstellungen absichern und Bedrohungen vermeiden, erkennen und beseitigen. Es nutzt Verhaltensanalysen und Machine Learning-Funktionen zur effektiven Bedrohungserkennung und unterstützt Sie bei der Erstellung einer Angriffschronik für die schnellere Behebung.

Erfahren Sie mehr über das Azure Security Center

Für Kunden mit On-Premises-Umgebungen bietet Windows Server 2016 über integrierte Sicherheitsfeatures und zusätzliche Sicherheitsprodukte einen Schutz für Ihre Netzwerke.

  • Die Datacenter Firewall ist eine statusbasierte, mandantenfähige 5-Tuple-Firewall (Protokoll, Quell- und Zielports und Quell- und Ziel-IPs) auf Netzwerkschicht, die so als Dienst bereitgestellt und angeboten werden kann, dass Administratoren Firewallrichtlinien zum Schutz ihrer virtuellen Netzwerke installieren und konfigurieren können.
  • Microsoft Advanced Threat Analytics ist ein Produkt für die Cybersicherheit zur Nutzung in der eigenen IT-Umgebung, das raffinierte Angriffe über eine UEBA-Funktionalität (User and Entity Behavior Analytics) erkennt.

Neue DNS-Funktionalitäten ermöglichen die Konfiguration von DNS-Richtlinien. So können die Antwortraten begrenzt und die Nutzung Ihrer DNS-Server für Angriffe verhindert werden. Mit einer DANE-Funktionalität (DNS-based Authentication of Named Entities) verhindern Sie Man-in-the-Middle-Angriffe.

Sichere Apps und Daten

Microsoft-Clouddienste und -Produkte für Unternehmen implementieren zahllose Technologien zum Schutz Ihrer Anwendungen und Daten.

Alle einblenden

  • Virtual Network stellt die Netzwerkumgebung für Ihre virtuellen Maschinen bereit. Sie kontrollieren die Netzwerktopologie und verwalten sie wie Ihre lokale Infrastruktur. Jedes virtuelle Netzwerk ist von anderen virtuellen Netzwerken isoliert. Durch die Verbindung von Azure Virtual Networks mit lokalen Netzwerken über VPNs zwischen Standorten oder Microsoft Azure ExpressRoute können Sie hybride Netzwerklösungen erstellen.
  • ExpressRoute hilft bei der Vermeidung von Sicherheitsproblemen durch internetbasierte VPNs zwischen Standorten. Erstellen Sie mit ExpressRoute private Verbindungen zwischen Azure-Rechenzentren und lokalen Netzwerken oder einem Colocation-Center. ExpressRoute-Verbindungen sind dedizierte WAN-Verbindungen (Wide Area Network), die zuverlässiger, schneller und sicherer sind.
  • Netzwerksicherheitsgruppen (NSGs) steuern den Datenverkehr zu einer oder mehreren VM-Instanzen in Azure Virtual Network. Eine NSG enthält Regeln für die Zugriffskontrolle, mit denen Datenverkehr auf Basis der Datenverkehrsrichtung, des Protokolls, der Quelladresse und des Quellports sowie der Zieladresse und des Zielports zugelassen und blockiert wird. Die Regeln einer NSG können jederzeit geändert werden. Die Änderungen werden dabei auf alle zugeordneten Instanzen angewendet.
  • Die Tunnelerzwingung ermöglicht die Umleitung des Internetverkehrs an Ihren lokalen Standort über einen VPN-Tunnel zwischen Standorten oder über ExpressRoute zum Zwecke der Inspektion und Überprüfung. Ohne Tunnelerzwingung wird der internetbasierte Datenverkehr von Ihren VMs in Azure immer direkt von der Azure Netzwerkinfrastruktur zum Internet übertragen (möglicherweise ohne dass der Datenverkehr inspiziert oder überprüft wird).

    Erfahren Sie mehr über das Konfigurieren der Tunnelerzwingung für VPN-Gateways

  • Virtuelle Appliances für die Netzwerksicherheit von Partnern wie A10, Cisco, F5, Fortinet, NGINX und anderen können zur Verbesserung der Netzwerksicherheit verwendet werden. Sie können virtuelle Netzwerk-Appliances in Ihren virtuellen Netzwerken einsetzen und erhalten so die gleiche Funktionalität wie beim lokalen Einsatz – inklusive Firewalls, Systemen zur Einbruchsverhinderung, WAN-Optimierungen und ADC/Lastverteilung (Application Delivery Controller).

    VM-Marketplace besuchen

Die Netzwerksicherheit für Microsoft Professional Services umfasst die Trennung des internen Rechenzentrumsnetzwerks vom externen Netzwerk. Der Zugriff auf Microsoft Professional Services-Daten wird über strenge Zugriffssteuerungsmechanismen und -prozesse gesteuert. Alle Datenübertragungen werden mit Sicherheitsmaßnahmen durchgeführt. Von extern an Microsoft gesendete Kundendaten werden beispielsweise verschlüsselt. Das umfasst auch Daten, die Kunden über unsere Supportsoftware und -tools gesendet haben.

Erfahren Sie mehr über Datenschutz-Services von Microsoft Professional Services

Die Netzwerksicherheitsfeatures in Dynamics 365 sorgen für eine sichere Verbindung über das Internet:

  • Dynamics 365 stellt eine sichere und robuste Infrastruktur bereit, die Microsoft 24 Stunden täglich und an sieben Tagen die Woche kontrolliert. Microsoft setzt verschiedene Technologien ein, um nicht autorisierten Datenverkehr zu den Microsoft Rechenzentren und innerhalb der Microsoft-Rechenzentren zu unterbinden.
  • Die Verbindungen zwischen Kunden und Microsoft-Rechenzentren werden mit branchenüblicher Transport Layer Security (TLS)-Verschlüsselung gesichert. So wird eine sichere Verbindung zwischen Browser und Server etabliert, die dafür sorgt, dass die Vertraulichkeit und Integrität der Daten zwischen dem Desktop und dem Rechenzentrum erhalten bleibt. Das redundante Netzwerk bietet Failover-Funktionen und sorgt für eine hohe Netzwerkverfügbarkeit.

Erfahren Sie mehr über die Sicherheit in Dynamics 365

Für mobile Windows-, Android- und iOS-Geräte verwendet Intune das Secure Sockets Layer-Protokoll (TLS/SSL), um eine sichere Kommunikation zwischen den einzelnen Geräten und dem Dienst zu ermöglichen. Alle Portale verwenden TLS/SSL für eine sichere Kommunikation, und es gibt ein Inaktivitätszeitlimit für Sitzungen.

In einer Hybridkonfiguration wird die Kommunikation mit Intune über einen SCCM-Standort (System Center Configuration Manager) initiiert, sodass Daten per Push oder Pull an den Dienst übertragen oder von diesem abgerufen werden. Intune stößt hierbei keine Kommunikation mit SCCM an. Die gesamte Kommunikation erfolgt über TLS/SSL. Zusammen mit der Intune Connector-Rolle wird ein Intune-Zertifikat installiert, das der Standort zur Authentifizierung und Kommunikation mit dem Connector verwendet.

Übersicht über Datensicherheit und Datenschutz in Intune

Office 365 verwendet tiefgreifende Sicherheitsprinzipien zum Schutz vor internen und externen Risiken. Die Office 365-Dienste wurden gezielt für eine sehr hohe Auslastung sowie für den Schutz vor und die Beseitigung von DoS-Angriffen auf Anwendungsebene entwickelt. Wir haben eine horizontal skalierbare Architektur entwickelt, in der die Dienste auf mehrere globale Rechenzentren verteilt sind. Einige Workloads arbeiten hierbei mit einer regionalen Isolierung und Begrenzung. Office 365-Dienste arbeiten nach kryptografischen Branchenstandards wie TLS und AES (Advanced Encryption Standard). TLS ermöglicht eine hochgradig sichere Verbindung zwischen Client und Server und trägt so dazu bei, dass Datenvertraulichkeit und -integrität zwischen Desktops und Rechenzentren erhalten bleibt. Alle kundenseitigen Server handeln mithilfe von TLS sichere Sitzungen mit Clientcomputern aus.

Erfahren Sie mehr über die Sicherheit und Compliance in Office 365

Erfahren Sie, wie Office 365 vor verteilten Denial-of-Service-Angriffen schützt

Power BI stellt Power BI Personal Gateway bereit. Damit können Benutzer Anmeldeinformationen für mehrere Datenquellen erstellen und automatisch beim Zugriff auf diese nutzen. Das Gateway arbeitet als Bridge und sorgt für eine schnelle und einfache Datenübertragung zwischen dem Power BI-Dienst und den lokalen Datenquellen. Wenn Power BI Daten aus einer lokalen Datenquelle aktualisiert, stellt das Gateway sicher, dass Ihr Konto über die passenden Berechtigungen für die Verbindung mit der Datenquelle und die Abfrage der Daten verfügt.

Die Datenübertragung zwischen Power BI und dem Gateway wird über Azure Service Bus gesichert. Azure Service Bus erstellt hierzu einen sicheren Kanal zwischen dem Dienst und Ihrem Computer. Da das Gateway die sichere Verbindung bereitstellt, ist es normalerweise nicht erforderlich, in der Firewall einen Port zu öffnen.

Erfahren Sie mehr über Power BI Personal Gateway

Visual Studio Team Services (Team Services) wird in Azure-Rechenzentren gehostet und auf Microsoft Azure Platform ausgeführt. Team Services nutzt die Azure-Infrastruktur und -Sicherheitsmechanismen, um sicherzustellen, dass alle Aktivitäten im Rahmen der Dienste berechtigt sind und um Einbrüche oder Einbruchsversuche zu erkennen.

Um vor verschiedenen DoS-Bedrohungen zu schützen und diese abzuwehren, hat Microsoft ein hochskalierbares und dynamisches System zur Bedrohungserkennung und -abwehr zum Schutz der zugrunde liegenden Infrastruktur vor DoS-Angriffen und zur Verhinderung von Dienstunterbrechungen für Azure-Kunden entwickelt. Das Azure DoS-Abwehrsystem schützt eingehenden und ausgehenden Netzwerkverkehr sowie den Netzwerkverkehr zwischen Regionen.

Erfahren Sie mehr über Team Services-Sicherheitsfeatures

Windows Server 2016 bietet unzählige Netzwerksicherheitsfunktionen aus vorherigen Versionen von Windows Server. Hierbei sind die betreffenden Funktionen standardmäßig gesichert. Windows Server 2016 führt außerdem neue Netzwerksicherheitsmechanismen ein – unter anderem die Datacenter Firewall. Die Datacenter Firewall ist eine statusbasierte, mandantenfähige 5-Tuple-Firewall (Protokoll, Quell- und Zielports und Quell- und Ziel-IPs) auf Netzwerkschicht. Bei der Bereitstellung als Dienst durch den Dienstanbieter können Mandantenadministratoren Firewallrichtlinien zum Schutz ihrer virtuellen Netzwerke vor unerwünschtem Netzwerkverkehr aus dem Internet und dem Intranet installieren und konfigurieren.

Erfahren Sie mehr über Datacenter Firewall

Windows Server 2016 bietet eine DANE-Funktionalität (DNS-based Authentication of Named Entities), die Man-in-the-Middle-Angriffe verhindert und über IPAM-Erweiterungen (IP Address Management) die Überwachung und Verwaltung von DHCP- und DNS-Servern ermöglicht. Windows Defender ist standardmäßig installiert und wird ausgeführt.

Erfahren Sie mehr über Windows Defender für Windows Server 2016