Was Administratoren über Microsoft Azure-Sicherheit und Schwachstellen wissen sollten


Wenn Systemadministratoren an die Sicherheit von Microsoft Azure denken, verfügen sie über Verschlüsselung, Überwachung / Protokollierung, …

Zugangskontrolle und Bedrohungsmanagement stehen im Vordergrund ihrer Anliegen. Diese Bereiche sind die Säulen der Cloud-Sicherheit. Abgesehen von Best Practices für Systemdesign und Sicherheitsmanagement geht die Aufrechterhaltung einer ausfallsicheren Azure-Umgebung über diese Kernkonzepte hinaus. Eine Sache, die oft übersehen wird, sind ordnungsgemäße Sicherheitsüberprüfungen durch Scannen von Sicherheitslücken und Penetrationstests. Ohne diese Vorgehensweisen kann nicht festgestellt werden, ob die Azure-Umgebung einem Angriff standhält.
In vielen Situationen werden die Verantwortlichen für die Informationssicherheit von Unternehmen über alle damit zusammenhängenden Bedenken beruhigt, weil sie “in” sind Microsofts Cloud“Die allgemeine Überzeugung ist, dass alles, was für Microsoft gut genug ist, für unser Geschäft gut genug ist. Die Annahme ist, dass Microsoft seine eigenen Penetrationstests von durchführt Azurblau und alle Probleme würden aufgedeckt und wir würden somit benachrichtigt. Microsoft gibt auf seiner Azure-Website Folgendes an:
Microsoft führt regelmäßig Penetrationstests durch Verbessern Sie die Azure-Sicherheit Kontrollen und Prozesse. Wir verstehen, dass die Sicherheitsbewertung auch ein wichtiger Bestandteil der Anwendungsentwicklung und -bereitstellung unserer Kunden ist.
Mit anderen Worten, Microsoft überlässt es dem Endbenutzer, dies sicherzustellen ihr Systeme treffen sich ihr eigene Sicherheitsanforderungen. So beeindruckend wie bei Microsoft Liste der branchenweit geprüften Konformität Mit dem Aussehen globaler Standards ist es Ihre Aufgabe, sicherzustellen, dass die Systeme und Anwendungen überprüft werden. Sicherheitsstandards für Rechenzentren sind eine Sache, aber Server- und Anwendungsfehler sind eine ganz andere. Wenn du siehst die bekannten Verstöße finden stattDies liegt kaum daran, dass in einem Unternehmen bestimmte grundlegende Sicherheitsrichtlinien oder Industriestandards nicht vorhanden waren. Stattdessen liegt es entweder daran, dass ihre Richtlinien und Standards in realen Szenarien nicht durchgesetzt werden, oder dass die weniger bekannten technischen Schwachstellen nicht gesucht und behoben werden.

Mangelnde Durchsetzung ist eine häufige Ursache für Azure-Sicherheitsanfälligkeiten

Es ist nicht ungewöhnlich, dass sie sehr konform sind Cloud-Umgebungen in Azure (oder Amazon oder anderswo für diese Angelegenheit), die mit durchsetzt sind technische Sicherheitslücken – Die meisten davon würden alle anderen übergeordneten Rechenzentrums- und Betriebssicherheitskontrollen negieren. In diesen vermutlich ausfallsicheren Cloud-Umgebungen habe ich Schwachstellen wie die folgenden festgestellt:

  • SQL-Injektion aufgrund fehlender Validierung der Anwendungseingaben
  • Schwache Passwörter für Webanwendungen
  • Fehlende und ausnutzbare Webserver-Patches
  • Fehlende Überwachung, Alarmierung und Blockierung von Angriffen in Echtzeit

Wenn diese Azure-Umgebungen sind sicher Weil sie “konform” sind, wer sucht dann nach den wirklichen Fehlern, die die meisten Probleme verursachen? Die Antwort ist oft niemand. Shadow IT Abgesehen davon haben viele größere Unternehmen Sicherheitstests unter Kontrolle. mittlere und kleinere Organisationen, nicht so sehr.
Sie wissen nicht, was Sie nicht wissen. Es ist nahezu unmöglich, einen Anspruch auf angemessene Sorgfalt zu verteidigen, wenn in der Cloud-Umgebung keine ordnungsgemäßen Sicherheitsüberprüfungen durchgeführt werden. Gelübde, über bloße Worte, Versprechen und Papierkram hinauszuschauen; bringe den Cloud-Sicherheit Programmieren Sie den Kreis, indem Sie die Erlaubnis von Microsoft einholen, und testen Sie diese und andere Fehler in Azure. Tun Sie es jetzt und in einigen Monaten noch einmal und bewegen Sie sich dann regelmäßig und konsequent vorwärts. Finde die Schwächen, bevor es die Kriminellen tun.

Nächste Schritte

Sperren Sie die Cloud-Sicherheit mit Azure Key Vault

Multifaktor-Authentifizierung Fügt der Azure-Sicherheit eine zusätzliche Ebene hinzu

Steigern Sie die PaaS-Sicherheit mit Microsoft Azure-Sicherheitsfunktionen

Implementieren Sie SSO mit Microsoft Azure AD

Weitere Informationen zu Microsoft Azure-Clouddiensten

Similar Posts

Leave a Reply