Bibliografische Informationen der Deutschen Nationalbibliothek:
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über www.dnb.de abrufbar.
© Göran August Eibel
Herstellung und Verlag:
BoD – Books on Demand GmbH, Norderstedt
Autor, Herausgeber, Redaktion, Satz, Gestaltung, Texte, Bilder: Göran Eibel
Titelbild: © Fit Ztudio / Shutterstock.com
Coverbilder: © Mitar Vidakovic / Shuttersstock.com, © atScene / Fotolia.com
ISBN: 978-3-7562-5229-9
1. Auflage 2022
Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der Grenzen des Urheberrechtgesetzes ist ohne Zustimmung des Autors und des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigung, Übersetzung, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen sowie E-Mails und Logos sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-Adressen und Logos ist rein zufällig. Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor und Verlag übernehmen folglich keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials oder Teilen davon entsteht. Der Verlag und auch der Autor übernehmen keine Haftung für die Aktualität, Richtigkeit und Vollständigkeit der Inhalte des Buches, ebenso nicht für Druckfehler. Für die Inhalte von den in diesem Buch abgedruckten Internetseiten sind ausschließlich die Betreiber der jeweiligen Internetseiten verantwortlich.
Gender-Hinweis: Auf das Hinzufügen der jeweiligen weiblichen Formulierungen wurde bei geschlechtsspezifischen Hinweisen im Sinne der flüssigen Lesbarkeit verzichtet. Alle personalen Begriffe sind sinngemäß geschlechtsneutral, also weiblich und männlich, zu lesen.
Trademarks / Warenzeichen: Die in diesem Werk wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. können auch ohne Kennzeichnung Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.
Gerade in den letzten beiden Jahren ist die Nutzung der Microsoft Azure IaaS / PaaS Dienste und der Microsoft 365 SaaS Lösungen sprunghaft gestiegen. Viele Unternehmen haben die Vorteile von Azure-basierten hybriden Data-Center Lösungen erkannt und sind von den enormen Möglichkeiten sowie Funktionen der Microsoft 365 Suite beindruckt.
Ich persönlich durfte einige sehr große hybride Designs erstellen und habe zahlreiche Kunden auf ihrem Weg in die Azure und Microsoft 365 Cloud begleitet. Nachdem erste Berührungsängste überwunden wurden und auch das Verständnis der Cloud Infrastrukturkonzepte gegeben war (wozu ich auch teilweise mit meinem letzten Buch beitragen konnte) ging es bei sehr vielen Unternehmen Schlag auf Schlag. Für sehr viele Unternehmen war vor allem die einfache Office 365 Teams-Einführung am Beginn der COVID-19 Pandemie entscheidend. Sie ebnete den Weg, die Nutzung von weiteren Microsoft 365 Diensten zu forcieren.
Leider musste ich in dieser Zeit aber immer öfter feststellen, dass dabei die Erstellung von Security Konzepten und eine adäquate Umsetzung sehr oft vernachlässigt wurden. Es stimmt schon – die Microsoft Cloud Lösungen liefern „out-of the box“ einen hohen Sicherheitsstandard und Microsoft investiert jedes Jahr Unsummen in die Erhöhung des sogenannten Security Posture. Und ja, die Microsoft Cloud Lösungen bieten Möglichkeiten zur Abwehr von Cyber-Attacken, wovon sehr viele IT-Verantwortliche bis jetzt nur träumen konnten. Was allerdings den meisten nicht bewusst ist, ist die Tatsache, dass die Bereitstellung der Sicherheitsservices allein noch keinen Vorteil bringt. Dieser wird erst nach der Aktivierung und entsprechender Konfiguration erzielt.
Auch wenn das Techniker und Administratoren jetzt möglicherweise als Panik-Mache abtun – die Angriffe und erfolgreichen Security Breaches der Jahre 2019 / 2020 und 2021 zeichnen da ein ganz anderes Bild. Eine aktuelle Studie der CTA (Cyber Threat Alliance) zeigt, dass ca. 160.000 Incidents mit nachweislicher Datenverschlüsselung oder Datenextraktion aus dem Jahr 2020 durch die Nutzung einer MFA Lösung an Stelle von Benutzername und Kennwort verhindert hätte werden können! Die Cyberangriffe sowie die dadurch entstandenen Schäden und Kosten werden weiter exponentiell steigen, vor allem, solange es Tenants gibt, die gerade einmal einen Microsoft Secure Score von 35% erreichen.
Ich bin der festen Überzeugung, dass über 90% der typischen Angriffe mit Hilfe der Microsoft Security Features automatisch abgewehrt werden könnten. Diese Meinung (welche auch von vielen Experten geteilt wird) und die bekannten Daten und Fakten zur Cybercrime-Lage haben mich im Vorhaben bestärkt, dieses Buch zu schreiben.
Einen besonderen Dank möchte ich selbstverständlich auch in diesem Buch meiner außergewöhnlichen Frau aussprechen. Sie ist mein Fels in der Brandung und schafft es auch in schweren Zeiten die richtigen Worte zu finden.
Göran August Eibel
Enterprise Solution Architect & Technology Evangelist @ https://www.gecon.at
Das Buch ist in fünf Abschnitte unterteilt, welche aufeinander aufbauen. Der erste Abschnitt beschäftigt sich mit den Grundlagen. Der Leser wird die neuen Technologien und Begriffe der Microsoft Azure Infrastruktur Umgebung kennenlernen. Natürlich hat Microsoft das Rad in der Cloud nicht neu erfunden, Grundlagen der IT haben nach wie vor ihre Gültigkeit und müssen auch entsprechend berücksichtigt werden. Infrastruktur-Technologien und Topologien werden teilweise neu bzw. angepasst interpretiert.
Nachdem die Strukturen und Topologien in Abschnitt I grundlegend vorgestellt sowie ein Überblick über die verschiedenen Security-Konzepte und Technologien in der Azure und Microsoft 365 Welt gegeben wurden, stehen im Abschnitt II die Tenant und Identitätsverwaltung im Mittelpunkt. Dieser Abschnitt beschäftigt sich mit Azure Policies zur Umsetzung von grundlegenden Sicherheitsvorgaben, dem Azure AD Connect, dass die on-premises Active Directory Umgebung mit der Microsoft Azure Cloud Identitätsverwaltung verbindet und mit neuen Azure Services (PIM, MFA, RBAC) zum Schutz der Identitäten.
Die Azure Data-Center Plattform bietet standardmäßig einen hohen Sicherheitsstandard und wird in Abschnitt III behandelt. Er beschreibt wie IaaS-Systeme mit Hilfe der Azure Network-Services abgesichert und NSGs (Network Security Groups) sowie Azure Firewalls konfiguriert werden können. Das PaaS-Lösungen enorme Vorteile für Kunden der Microsoft Azure Cloud bieten und die Möglichkeiten von hybriden Data-Center Konzepten erweitern, beschäftigt sich Abschnitt III auch mit Sicherheits-Features der typischen PaaS-Lösungen wie Azure Key Vault, Storage Accounts und managed SQL-Datenbanken.
Abschnitt IV schafft den Übergang zu den Microsoft 365 SaaS-Plattform Security Lösungen und widmet sich der Threat Protection. Azure liefert die Basis für das Monitoring und stellt mit Azure ATP die ersten Funktionen zur Abwehr von Threats zur Verfügung. Die Microsoft 365 Security Suite stellt mit Microsoft 365 Defender und Office 365 ATP Lösungen zur Verfügung, um Attacken auf verschiedenen Ebenen und mit verschiedenen Technologien zuverlässig abwehren zu können.
Microsoft 365 Information Protection ist für viele Unternehmen ein „Game-Changer“. Die Möglichkeiten der zentralen Datenklassifizierung mit Hilfe von Labels und die Steuerung des gesamten Informationsflusses innerhalb und außerhalb einer Organisation bieten komplett neue Ansätze und Möglichkeiten bei der Erhöhung der Datensicherheit. Deshalb werden in Abschnitt V Funktionen wie AIP (Azure Information Protection), IRM (Information Rights Management) und DLP (Data Loss Prevention) ausführlich behandelt.
Im letzten Abschnitt dieses Buches möchte der Autor den Lesern ein Best-Practice Setup für eine Microsoft 365 Umgebung nahelegen. Das Setup versteht sich als Leitfaden inkl. Anleitungen für die Umsetzung der wichtigsten Security Features, um gegen die häufigsten und gefährlichsten Cyber-Attacken gerüstet zu sein. Im Fokus steht dabei der Schutz von Identitäten, E-Mails und von Endpoints mit dem Ziel den Secure-Score vieler Unternehmen nachhaltig zu erhöhen!
Bevor man sich in die Welt des Cloud-Computing begibt, sollte man sich mit den elementaren Begriffen und Technologien vertraut machen. Das grundlegende Verständnis für Cloud Service-Typen, Bereitstellungsmethoden und Topologien muss gegeben sein, um sich in weiterer Folge mit verschiedenen Security Konzepten sowie Methoden zur Erhöhung der Informationssicherheit auseinandersetzen zu können.
Dieses Buch ist zwar prinzipiell auf Deutsch geschrieben, zur besseren Verständlichkeit und auf Grund der üblichen Marktbezeichnungen werden bei vielen Begriffen und Definitionen allerdings die englischen Originalbezeichnungen verwendet. Das gilt ebenfalls für die dargestellten Screenshots.
| Active Directory | Microsoft Verzeichnisdienst zur Verwaltung von Domänenobjekten. Active Directory Benutzer, Gruppen und Organisationseinheiten bilden die Basis zur Steuerung und Berechtigung aller Ressourcen. |
| BYOD | „Bring your own Device“ – Benutzer greifen über eigene private Geräte auf IT-Ressourcen und Daten des Unternehmens zu. |
| BI-Tools | Business Intelligence Tools verarbeiten unstrukturierte Daten aus unterschiedlichen Quellen, um aussagekräftige Trends zu ermitteln. |
| Cloud | Metapher für ein globales, öffentliches Netzwerk – bei der Public Cloud handelt es sich dabei um das Internet. |
| Cloud Bursting | Mechanismus zum Verlagern von Ressourcen aus einer privaten Cloud hin zu einer öffentlichen Cloud, wenn die Ressourcenkapazität innerhalb der privaten Cloud nicht mehr ausreicht oder verfügbar ist. |
| Cloud Computing | Bereitstellen von Computing-Ressourcen wie Rechenleistung, Speicher, Netzwerkkomponenten und Software über das Internet. |
| Cloud Computing-Typen | Es gibt grundlegend drei verschiedene Klassifizierungen zur Bereitstellung von Cloud Computing Ressourcen: |
| IaaS – Infrastructure as a Service PaaS – Platform as a Service SaaS – Software as a Service |
|
| Elastic Computing | EC beschreibt die Möglichkeit einem Server dynamisch, Ressourcen wie Prozessorleistung, Speicher oder Netzwerkressourcen zuordnen zu können. |
| Grid Computing | Eine Gruppe von verbundenen Computern, um komplexe Operationen gemeinsam durchführen zu können. |
| Hybrid Cloud | Kombination aus öffentlichen (public) und privaten Cloud-Ressourcen, welche für eine gemeinsame Nutzung von Daten und Systemen verbunden werden. |
| IaaS | Infrastructure as a Service beschreibt ein Cloud Computing Modell bei welchem durch den Cloud-Anbieter die Netzwerk- und Serverinfrastruktur zur Verfügung gestellt werden. Typischerweise übernimmt der Kunde die Verantwortung direkt nach der Installation des Betriebssystems. |
| KI-Computing | Künstliche Intelligenz (AI - Artificial Intelligence) beschreibt die Fähigkeit eines Computers menschliche Intelligenz zu imitieren. Mithilfe von Mathematik und Logik kann das Computersystem die Argumentation simulieren, mit der Menschen aus neuen Informationen lernen und Entscheidungen treffen. |
| Middleware | Software zwischen einem Betriebssystem und der Anwendung, um die Kommunikation und Datenverwaltung zu ermöglichen. |
| PaaS | Platform as a Service beschreibt ein Cloud Computing Modell bei welchem neben der Netzwerk- und Serverinfrastruktur auch die gesamte Middleware inkl. Entwicklungs- und Konfigurationsplattform einer Lösung vom Cloud Anbieter verwaltet wird. |
| Private Cloud | Dienste einer Private Cloud sind nicht allen Benutzern über das Internet zugänglich, sondern nur einem eingeschränkten Benutzerkreis. Oft erfolgt die Bereitstellung auch zusätzlich über ein privates, internes Netzwerk. |
| Public Cloud | Dienste einer öffentlichen (public) Cloud werden über das Internet angeboten und sind prinzipiell für jeden Benutzer zugänglich. |
| SaaS | Software as a Service beschreibt ein Cloud Computing Modell bei welchem bis zur Applikationsschicht einer Lösung, alle erforderlichen Ressourcen des Services vom Cloud Anbieter bereitgestellt und verwaltet werden. |
| Virtualisierung | Es wird eine komplett simulierte (virtuelle) Computing-Umgebung und keine physische Umgebung bereitgestellt. Die virtuellen Treiber agieren unabhängig von der darunterliegenden Hardware. |
| Zero Touch Deployment | Bereitstellung und Konfiguration von Applikationen oder ganzen Systemen ohne Interaktion durch einen Benutzer. |
Abbildung 1.2-1: Darstellung Cloud Computing Typen
IaaS – Infrastructure as a Service
Bei IaaS werden virtuelle Server mit unterschiedlichen, frei konfigurierbaren und dynamisch skalierbaren Leistungsparametern durch die Azure Cloud direkt in einem logischen Verwaltungs- und Abrechnungsbereich (Tenant) des Kunden bereitgestellt. Der Kunde muss sich um die Bereitstellung und Wartung der erforderlichen Hardware inkl. der für den Zugriff auf diese Server benötigten Infrastruktur (Switch, Router, Firewall usw.) nicht kümmern. Die Verfügbarkeit der Server wird über SLA’s (Service Level Agreements) definiert und kann durch optionale Dienste (High Availability -Konfigurationen) individuell erweitert werden.
PaaS – Platform as a Service
PaaS Dienste gehen einen Schritt weiter. Zusätzlich zur gesamten Hardware - inkl. Infrastruktur für den Zugriff über das Internet (Public Cloud) oder über dedizierte, abgeschottete Bereiche (Private Cloud) - werden durch die Azure Cloud auch die Verwaltung der gesamten Betriebssystem-Ebene - inkl. aller Updates sowie der benötigten Middleware und Runtime-Komponenten - des Dienstes übernommen. Ein typisches Beispiel für PaaS in der Azure Cloud sind die Azure SQL Services – die gesamte Bereitstellung und Wartung eines SQL Servers bzw. SQL-Clusters entfällt für den Kunden.
SaaS – Software as a Service
Bei SaaS wird die gesamte Software direkt über das Internet bereitgestellt, auch die Verwaltung und Sicherung, der durch die SaaS Services erzeugten Daten, erfolgt durch den SaaS Anbieter. Die Abrechnung bei SaaS Diensten erfolgt typischerweise nach einem Abonnement-Modell, während IaaS und PaaS Dienste gewöhnlicherweise nach dem „Pay-as-you-use“ Modell verrechnet werden. Die gesamte Produkt-Suite von Office 365 stellt einen typischer Vertreter moderner SaaS Lösungen dar.
In der folgenden Abbildung sind die Verantwortungsbereiche gegenübergestellt.
Abbildung 1.2-2: Vergleich der Verantwortungsbereiche
Die Vorteile, die sich ergeben, sind hier angeführt:
Abbildung 1.3-1: Azure Services Übersicht – Quelle: Microsoft
Alle aktuell zur Verfügung stehenden Dienste der Azure Cloud zu erläutern, würde den Rahmen dieses Buches sprengen. Daher konzentriert sich dieses Kapitel auf die grundlegenden Service-Strukturen. Auf Dienste, welche für den Aufbau einer hybriden Infrastrukturumgebung zwingend benötigt werden, wird im weiteren Verlauf dieses Buches detailliert eingegangen.
Anfang 2021 standen über die Microsoft Azure Cloud knapp 600 Dienste zur Verfügung, welche über einen eigenen Service-Channel bzw. dem Marketplace angeboten werden. Eine Gruppierung dieser Dienste in 22 Kategorien soll die Auswahl erleichtern.
| Analysen | Verschiedene Azure Services zum Sammeln, Analysieren, Verarbeiten und Visualisieren von Daten. Azure DataBricks, PowerBI Embedded und Azure Data Lake Storage gehören beispielsweise zu dieser Kategorie. |
| Blockchain | Unterschiedliche Tools und Services zum Erstellen und Verwalten von Blockchain basierenden Anwendungen. |
| Compute | Gerade bei Aufbau von Infrastrukturdiensten in der Cloud eine der wichtigsten Kategorien. Hier finden sich die Dienste zur Erstellung von virtuellen Windows oder Linux Computern / Servern, VM Scale-Sets, Azure Dedicated Hosts oder auch Instanzen zur Ausführung von SAP-HANA Workloads in der Azure Cloud. |
| Container | Services zur Erstellung und Verwaltung von unterschiedlichen Container-Technologien inkl. Azure Kubernetes Services (AKS) werden in dieser Kategorie angeboten. |
| Datenbanken | Vollständig verwaltete Datenbanken und Instanzen in unterschiedlichen technischen Ausprägungen und Funktionen stellen die Dienste in dieser Kategorie zur Verfügung. |
| DevOps | Über diese Services kann eine komplette, Cloud-basierte Prozessumgebung zur gemeinsamen Entwicklung und Bereitstellung von Applikationen realisiert werden. |
| Entwicklungstools | Entwicklung und Verwaltung von Cloudanwendungen, unabhängig von Sprache und Plattform stehen im Fokus dieser Servicegruppe. |
| Hybrid | Technologien zum Aufbau von hybriden Infrastrukturumgebungen, wie beispielweise Azure ExpressRoute zum Aufbau von hoch performanten und stabilen Netzwerkverbindungen, oder auch das Azure Active Directory zum zentralen Identitätsmanagements findet man in dieser Kategorie. |
| Identität | Die zentrale Verwaltung von Benutzer- und Geräteidentitäten inkl. dem Schutz von vertraulichen Daten werden von Diensten wie beispielsweise den Azure AD Domain Services oder den Azure Information Protection Services angeboten. |
| Integration | Tools zur nahtlosen Integration von Cloud-basierten bzw. lokalen Daten und Prozessen finden sich in dieser Kategorie. |
| IoT | Internet of Things – eine stark wachsende Kategorie mit Services und Tools zur Bewältigung dieser teilweise sehr komplexen Herausforderung. |
| KI / ML | KI und Machine Learning Services für unterschiedliche Anwendungsfälle stehen hier zur Verfügung. Neben Sprach-, Bild- und Freihanderkennung stehen auch moderne Kognitive Suchfunktionen und virtuelle Data-Science Modelle zur Verfügung. |
| Medien | Dienste in dieser Kategorie sind auf die Bereitstellung und Optimierung von Multimedia Inhalten wie Bild, Ton und Video spezialisiert. |
| Migration | Verschiedene Services und Tools in diesem Bereich unterstützen bei der Migration von Daten und Diensten in die Microsoft Azure Cloud und stellen auch einige wichtige Funktionen für den Aufbau von HA-fähigen Hybrid-Lösungen bereit (beispielsweise Azure Site Recovery). |
| Mixed Reality | Lösungen für den Aufbau und der Bereitstellung unterschiedlicher Virtual Reality Umgebungen inkl. Remote 3D Rendering stehen hier bereit. |
| Mobil | Services dieser Kategorie verfolgen das Ziel, moderne, plattformübergreifende mobile Applikationen zu erstellen und den Benutzern zur Verfügung zu stellen. |
| Netzwerk | Services und Tools für den Aufbau von virtuellen und hybriden Netzwerken inkl. Optimierung, Verwaltung und Absicherung des gesamten Datenverkehrs stehen hier sowohl für Public-Cloud als auch Private-Cloud Umgebungen zur Verfügung. |
| Sicherheit | Das Azure Security Center zur zentralen Verwaltung sehr vieler Security-Features inkl. weiterer – optionaler – Funktionen wie die Azure Key Vault oder Azure Sentinel werden in dieser Kategorie angeboten. |
| Storage | Daten- und Speicherverwaltung gehört zu den wichtigsten Bereichen jeder Cloud-Lösung. In diesem Bereich findet man die Storage-Accounts und alle Services zur Verwaltung von strukturierten und unstrukturierten Daten für native und hybride Cloud Umgebungen. |
| Verwaltung und Governance | |
| Dienste zur Automatisierung, Überwachung und Verwaltung aller Cloud-Ressourcen werden in dieser Kategorie zusammengefasst. | |
| Web | Alles was benötigt wird, um leistungsstarke und performante Web-Anwendungen bereitstellen zu können, findet man in dieser Kategorie. |
| Windows Virtual Desktop | |
| In diesem relativ neuen Bereich,werden die Dienste zur Bereitstellung des sogenannten „Virtual Digital Workplace“ angeboten. Hier entsteht auch ein komplett neuer Cloud-Typ, nämlich DaaS – Desktop as a Service. DaaS geht noch einen Schritt weiter als SaaS – neben den Applikationen und Plattform-Diensten wird die gesamte Arbeitsplatzumgebung virtuell zentral auf Basis von Windows Server Remote Desktop Services, Windows 10 / 11 VDI oder Windows 10 / 11 Multi-Session Host bereitgestellt. | |
Abbildung 1.4-1: Microsoft 365 Services Übersicht
Die Microsoft 365 Services werden über verschiedene Mietpläne angeboten und beinhalten unterschiedliche Applikationen und SaaS Lösungen. Die Basis für alle M365 Produkte ist ein Benutzerkonto in einem Azure Active Directory Tenant. Das Microsoft 365 Security Center ist die zentrale, Service-überspannende Sicherheitslösung für das gesamte Produktportfolio. Das Security Center stellt alle Funktionen zur Überwachung und Verwaltung der M365 -Identitäten, - Daten, - Geräte und -Applikationen über ein zentrales Portal zur Verfügung.
Zu den wichtigsten SaaS-Lösungen der Microsoft 365 Suite zählen:
Exchange Online
SaaS Version des Microsoft Exchange Servers zur zentralen Bereitstellung und Verwaltung von E-Mails, Kontakten und Kalendern. Jedem Benutzer wird mindestens ein Postfach zur Nutzung der Collaboration-Funktionen zugewiesen. Der Zugriff auf das Postfach erfolgt mittels einer kompatiblen Applikation (beispielsweise Microsoft Outlook) oder direkt aus einem unterstütztem Internet-Browser. Ein in Exchange Online gehostetes Postfach ist für viele M365 Funktionen und Dienste unerlässlich.
Teams
Microsoft Teams ist die zentrale Collaboration Plattform in Microsoft 365 für Benutzer, Inhalte und Tools. Über sichere Verbindungen werden Online-Meetings verwaltet und Daten in Echtzeit abgerufen, geteilt oder gemeinsam erstellt. Die Funktionen und Möglichkeiten können individuell mit Hilfe von PowerApps und direktem Zugriff auf weitere M365 Dienste erweitert und angepasst werden.
OneDrive for Business
OneDrive for Business ist der zentrale, sichere Speicherort für persönliche Daten und Unternehmensdaten. Auf die Daten des Speichers kann unkompliziert direkt aus allen M365 Applikationen und geräteunabhängig zugegriffen werden. Offline-Änderungen werden automatisch synchronisiert und bei Bedarf werden einzelne Dateien oder ganze Ordner mit anderen Personen geteilt.
SharePoint
SharePoint Online ist die zentrale Plattform für team- und unternehmensübergreifende Zusammenarbeit. Eine einfache Verwaltung der Projekt- und Team Web-Seiten sowie der geräteunabhängige Zugriff auf Informationen jeglicher Art ermöglicht eine unkomplizierte Webbasierte Zusammenarbeit. SharePoint Online unterstützt zusätzliche verschiedene Workflow-Systeme, wird laufend erweitert und kann individuell an die Anforderungen des Unternehmens angepasst werden.
Office Apps
Die meisten Mietpläne von Microsoft 365 unterstützen sowohl die lokale Offline- als auch die Online-Nutzung der bekannten Microsoft Office Anwendungen wie Outlook, Excel, Word und PowerPoint. Die beiden Anwendungen Visio und Project werden als Add-On Produkte zum bestehenden M365 Abonnement bei Bedarf lizenziert.
Dynamics
Dynamics 365 ist ein SaaS CRM/ERP (Customer Relation Management / Enterprise Ressource Planning) Lösung der Microsoft 365 Produkt Suite. Über eine einheitliche Datenbasis werden Informationen aus unterschiedlichen Quellen miteinander vernetzt, Standardprozesse automatisiert und zentrale, einheitliche Workflow-Systeme etabliert.
PowerApps
Die Anzahl der zur Verfügung gestellten PowerApps steigt stetig. PowerApps erweitern die Möglichkeiten und Funktionen der einzelnen Microsoft 365 Dienste und können individuell aktiviert und genutzt werden.
Abbildung 1.4-2: Übersicht – Microsoft 365 Security Center
Der Azure Ressourcen Manager ist der zentrale Dienst zur Bereitstellung und Verwaltung in Azure. Nahezu alle Ressourcen und Dienste werden mit Hilfe von Ressourcen Manager Templates über das Azure Portal parametrisiert und provisioniert. Zusätzlich zum Azure Portal stehen alle Funktionen des Ressourcen Manager über die PowerShell, Azure CLI, Rest-APIs und über Client-SDKs zur Verfügung.
Zur Verwaltung von Ressourcen bietet Azure vier logische Ebenen. Die Ressourcen können damit sauber nach Funktions-, Berechtigungs- oder Verrechnungsmodellen aufgeteilt werden. Standardmäßig werden Einstellungen einer Ebene auf die darunterliegenden Ebenen vererbt.
Abbildung 1.5-1: Verwaltungsebenen Azure Ressourcen Manager
Verwaltungsgruppen (Azure Management Groups)
Jeder Azure Tenant (das Azure Konto einer Organisation) verfügt über mindestens eine Verwaltungsgruppe, unter welcher mindestens ein Abonnement (Verrechnungsmodell) verlinkt ist. Mit Hilfe der Verwaltungsgruppen können mehrere logische Gruppen aufgebaut werden, um mit Richtlinien den Zugriff auf Ressourcen organisieren zu können. So kann z.B. mit einer Verwaltungsgruppe das Abonnement (Subscription) für den produktiven Einsatz von Azure Ressourcen verwaltet werden, mit einer zweiten Verwaltungsgruppe wird der Zugriff auf Azure Ressourcen für Test- und Abnahmeprozesse gesteuert.
Abonnements (Subscriptions)
Die Azure Subscription ist eine Vereinbarung zur Nutzung und Bezahlung von Azure Ressourcen. Standard Subscriptions werden klassisch nach dem „Pay-as-you-use“ Modell mittels Kreditkarte oder Rechnung auf monatlicher Basis abgerechnet. Aufgrund von verschiedenen Partner-Vereinbarungen mit der Firma Microsoft (Visual Studio, Microsoft Partner Subscription, Free Azure Pass usw.) gibt es eine Vielzahl von weiteren Subscriptions. Diese können unabhängig voneinander verwendet und auch unabhängig voneinander über die Verwaltungsgruppen speziellen Anwendungsfällen zugeordnet werden können.
Abbildung 1.5-2: Beispiel – Verwaltungsgruppen & Abonnements
Ressourcengruppen & Ressourcen (Azure Resource Groups & Resources)
Als Azure Ressource wird jedes Service angesehen, welches über das Azure Portal provisioniert werden kann. Bei den Ressourcengruppen handelt es sich um eine logische Gruppierung von Azure Ressourcen, um alle Komponenten einer Lösung logisch zusammenzufassen.
Auf dieser Ebene können auch beispielsweise delegierte Administratorenrechte vergeben werden, sodass eine spezielle Gruppe von Benutzern alle darin abgebildeten Ressourcen selbst verwalten kann, unabhängig davon, ob es sich um einen virtuellen Computer, einen Dienst oder eine Firewall-Einstellung handelt. Eine andere Möglichkeit ist der Aufbau der Ressourcengruppen auf Basis von Funktionen, unabhängig von delegierten Rechten. Zum Beispiel können alle Ressourcen, die zur Bereitstellung eines File-Services benötigt werden, in einer Gruppe zusammengefasst werden. Damit können globale Einstellungen zentral in dieser Gruppe vorgenommen werden, die auf virtuelle Maschinen, dem virtuellen Netzwerk und dem Storage-Account Anwendung finden.
Zusammenfassung:
RBAC basiert auf dem Azure Ressourcen Manager und bietet granulare Steuerungsmöglichkeiten für den Zugriff auf die Azure Ressourcen. Mittels RBAC Regeln wird festgelegt, auf welche Ressourcen Benutzer / Administratoren Zugriff haben, und welche Aktionen direkt bzw. beim Zugriff auf diese Ressourcen ausgeführt werden können.
Eine RBAC Rolle setzt sich immer aus drei Konfigurationsparametern zusammen:
| Security Principal | Ein Benutzer, eine Gruppe oder ein verwalteter Dienst |
| Rollendefinition | Eine Sammlung von Berechtigungen. Azure verfügt standardmäßig über drei grundlegende Rollendefinitionen – Besitzer (Owner), Mitwirkender (Contributor) und Leser (Reader). Diesen drei Definitionen ist ein spezieller, vorgefertigter Satz von Berechtigungen zugewiesen. Rollendefinitionen können jederzeit neu erstellt und angepasst werden. |
| Bereich (Scope) | Legt fest, ab welchem der vier Verwaltungsebenen die RBAC Einstellung wirken soll. |
Es gilt allgemein als Empfehlung, Benutzergruppen so hoch oben wie möglich in den vier Verwaltungsebenen zu berechtigen. Berechtigungen direkt auf den Ressourcen sollte man so lange wie möglich vermeiden. Natürlich sollte jeder Benutzer auch nur über die Berechtigungen verfügen, welche er für die Ausführung seiner Aufgaben zwingend benötigt.
RBAC basiert auf einem rein additiven Modell – einschränkende Berechtigungen haben keine effektiven Auswirkungen. Ist ein Benutzer zum Beispiel CONTRIBUTOR auf der Ebene einer Subscription und READER auf der Ebene Ressourcengruppe (unterhalb der Subscription), so lautet das effektive Recht für diesen Benutzer auf Ebene der Ressourcengruppe ebenfalls CONTRIBUTOR.
Neben den drei grundlegenden Rollendefinitionen werden über das Azure Portal aktuell ca. 60 weitere vordefinierte Rollen angeboten, welche wiederum angepasst werden können. Abhängig von der Größe eines Unternehmens und dem Zugriffs- und Berechtigungswunsch muss das RBAC-Konzept individuell erarbeitet und erstellt werden. Hier kann es keine global gültige Vorgabe oder Empfehlung geben.
Die RBAC Konfiguration kann direkt auf der Verwaltungsgruppe, dem Abonnement, der Ressourcengruppe oder der Ressource im Bereich Zugriffssteuerung (IAM) durchgeführt werden.
Abbildung 1.5-3: Zugriffssteuerung (IAM)
Abbildung 1.5-4: Beispiel – Rollendefinitionen (Contributor)
Die Azure Services werden weltweit in 140 Ländern in 55 Regionen angeboten (Stand Q1-2021). Eine Region bestimmt einen logischen Bereich, welchem mehrere physische Rechenzentren zugeordnet sind. Diese Rechenzentren sind über ein dediziertes, regionales Netzwerk mit geringster Latenz miteinander verbunden.
Abbildung 1.6-1: Azure Regionen / Stand Q1-2021 – Quelle: Microsoft TechNet
Regionen in Europa / Stand Q1-2021:
| Region | Standort |
| Europa Norden | Irland |
| Europa Westen | Niederlande |
| Frankreich Mitte | Paris |
| Frankreich Süden | Marseille |
| Vereinigtes Königreich Süden | London |
| Vereinigtes Königreich Westen | Cardiff |
| Deutschland Mitte | Frankfurt |
| Deutschland Nordosten | Magdeburg |
| Deutschland Westen-Mitte | Frankfurt |
| Deutschland Norden | Berlin |
| Schweiz Norden | Zürich |
| Schweiz Westen | Genf |
| Norwegen Westen | Stavanger |
| Norwegen Osten | Oslo |
Das SLA für virtuelle Maschinen liegt standardmäßig bei 99,9%. Durch den Einsatz von zwei optionalen HA (High Availability) Optionen kann dieser Wert nun weiter optimiert werden.
Jede virtuelle Maschine läuft letztendlich auf einem physischen Server. Betrachtet man den Aufbau der physischen Server in der Azure Cloud, so wird die Funktionsweise von Availability Sets sehr schnell klar. Ein Rack in der Azure Cloud besteht immer aus mehreren identischen physischen Servern (den Hosts), welche sich denselben Rack-Switch und dieselbe Stromversorgungseinheit teilen.
Wird ein Availability Set angelegt, so werden standardmäßig fünf sogenannte Update Domains (UD) und drei sogenannte Fault Domains (FD) definiert. Müssen Updates und Maintenance Tasks durchgeführt werden, so stellt die Update-Domain Konfiguration sicher, dass nicht alle virtuellen Maschinen gleichzeitig gestartet werden. D.h. wenn man z.B. drei virtuelle Server hat, welche sich in unterschiedlichen Update Domains befinden, kann es im Zuge eines Updates immer nur zum Ausfall (durch Reboots etc.) von einem virtuellen Server kommen.
Die Fault-Domain beschreibt im eigentlichen Sinn das physische Rack. Virtuelle Maschinen in derselben Fault Domain teilen sich einen Netzwerk-Switch und eine gemeinsame Stromversorgung. Sind beispielsweise drei virtuelle Server in drei unterschiedlichen Fault-Domains, so kann ein Hardware-Ausfall eines gesamten Racks nur eine Maschine betreffen. Wären alle drei virtuellen Server in derselben Fault-Domain würde ein Hardwarefehler im Rack alle Maschinen gleichzeitig betreffen.
Abbildung 1.6-2: Beispiel: Availability Set - 5 IIS Server in der Konfiguration 5 UDs / 3 FDs
| Servername | Mitglied Update Domain | Mitglied Fault Domain |
| IIS-01 | UD01 | FD01 |
| IIS-02 | UD02 | FD01 |
| IIS-03 | UD03 | FD02 |
| IIS-04 | UD04 | FD02 |
| IIS-05 | UD05 | FD03 |
Auf die Verteilung der Update-Domains innerhalb einer Fault-Domain sowie auf die Anzahl der physischen Server (pHosts) einer Update-Domain, hat man als Kunde keinen Einfluss.
Availability Sets sichern den Ausfall einzelner physischer Hosts innerhalb eines Data-Centers perfekt ab. Sollte allerdings der Fall eintreten, dass ein gesamtes Azure Data-Center ausfällt, und man auch dann die Verfügbarkeit von Maschinen sicherstellen muss, so kann man zusätzlich sogenannte Availability Zones konfigurieren.
Wie bereits bekannt ist, besteht eine Azure Region immer aus mehreren Data-Centern. Eine Availability Zone schützt jetzt gegen den kompletten Ausfall eines Azure Data-Centers, indem die virtuellen Maschinen auf verschiedene, geografisch getrennte und unabhängig voneinander versorgte Data-Center aufgeteilt werden.
Abbildung 1.6-3: Availability Zone – Quelle: Microsoft TechNet
Eine ordnungsgemäß konfigurierte und gut segmentierte Netzwerkumgebung ist die Basis jedes IT-Infrastrukturprojektes. Um den Netzwerkverkehr innerhalb des Tenants entsprechend steuern zu können, bietet die Microsoft Azure Cloud die folgenden wichtigsten Komponenten bzw. Services an.
Bevor das erste IaaS Service provisioniert werden kann, muss dem Tenant mindestens ein VNET zugewiesen werden. Das Azure VNET ist die Grundlage für den Aufbau eines privaten Netzwerks in der Azure Cloud. Alle Azure Ressourcen innerhalb eines VNETs können automatisch miteinander kommunizieren, die Verbindung zu einem on-premises Data-Center wird über einen speziellen Netzwerkbereich innerhalb des VNETs mittels VPN Technologien hergestellt.
Beim Anlegen eines VNETs müssen, neben einem eindeutigen Namen für das VNET, folgende Parameter konfiguriert werden:
Abonnement (Subscription) & Ressourcen Gruppe
Ein VNET muss einer Subscription und einer Ressourcen Gruppe zugewiesen werden, und kann auch nur immer mit einer Subscription bzw. Ressourcen Gruppe verknüpft sein. RBAC Regeln auf einem VNET werden standardmäßig auf alle Ressourcen innerhalb des VNETs vererbt.
Adressbereich
Einem VNET muss ein privater Adressbereich zugewiesen werden. Abhängig von der geplanten Größe der Umgebung kann ein privater Class-A, Class-B oder Class-C Bereich verwendet werden. Der Adressbereich darf sich dabei nicht mit in weiterer Folge angebunden privaten Netzwerken der on-premises Umgebung überlappen.
| Private IP-Range Class-A | 10.0.0.0 – 10.255.255.255 (10.0.0.0 / 8) |
| Private IP-Range Class-B | 172.16.0.0 – 172.31.255.255 (172.16.0.0 / 12) |
| Private IP-Range Class-C | 192.168.0.0 – 192.168.255.255 (192.168.0.0 / 16) |
Subnetze
Wie bei einem klassischen Netzwerk, erfolgt die Segmentierung des VNETs mit Hilfe von Subnetzen. Hier empfiehlt es sich – wie in jedem Netzwerkdesign – eine Segmentierung auf Basis von Ressourcen mit unterschiedlichen Sicherheitsanforderungen über Subnetze vorzunehmen. Das Subnetz ist auch die primäre Sicherheitsbarriere, da mit Hilfe von sogenannten NSGs (Network Security Groups) in weiterer Folge der gesamte Netzwerkzugriff auf Ressourcen innerhalb des Subnetzes gesteuert wird.
Region
Ein VNET ist immer auf eine Azure Region beschränkt. Über das sogenannte VNET-Peering können virtuelle Azure Netzwerke regionsübergreifend miteinander verbunden werden. Der gesamte Datenverkehr erfolgt dabei ausschließlich über das interne, private Microsoft global network (MGN) über welches alle Azure Regionen miteinander verbunden sind.
Abbildung 2.1-1: Beispiel eines Azure Netzwerkkonzeptes
Ein VPN Gateway wird immer in einem eigenen Subnetz (GatewaySubnet) des VNETs provisioniert und stellt eine verschlüsselte und stetige Verbindung zwischen dem VNET in der Azure Cloud und einem lokalen Netzwerk über das Internet her. Das VPN Gateway wird auch für die Kommunikation zwischen zwei VNETs über das interne Microsoft global network verwendet.
Beim Anlegen des VPN Gateways muss eine Leistungsklasse definiert werden, alle VPN Verbindungen teilen sich in weiterer Folge die Leistung dieses VPN Gateways. Aktuell gibt es 15 verschiedene VPN Gateway Klassen. Das erste VPN Gateway Service (VPN Basic) startet z.B. bei 100Mbit/sec aggregierten Durchsatz und unterstützt maximal 10 gleichzeitige Site-2-Site VPN Verbindungen. Das aktuell leistungsstärkste VPN Gateway hat einen aggregierten Datendurchsatz von 10 Gbit/sec und unterstützt maximal 30 gleichzeitige Site-2-Site Verbindungen.
Nach der Erstellung des VPN Gateways im VNET über ein eigenes dediziertes Subnetz (der Name lautet dabei immer GatewaySubnet) können folgende Verbindungen hergestellt werden:
| Point-2-Site Verbindung | Verbindung von einem Remote-Standort (Endgerät) über OpenVPN, IKEv2 oder SSTP. Der VPN Client muss am Endgerät installiert bzw. konfiguriert werden. |
| Site-2-Site Verbindung | IPSec / IKEv2 Verbindung zu einem anderen VPN Gateway (VNET-to-VNET) oder einem lokalen VPN Gateway (Site-2-Site). Bei einer Site-2-Site Verbindung mit einem lokalen Gateway wird im Regelfall die Verbindung immer über den lokalen Router / Firewall über eine Shared Secret Konfiguration aufgebaut. |
Bei der Planung muss sichergestellt werden, dass das lokal eingesetzte VPN Device kompatibel ist und einen permanenten Site-2-Site Tunnel zur Microsoft Azure Infrastruktur herstellen kann.
Site-2-Site Verbindungen (S2S) - Zusammenfassung
Abbildung 2.1-2: Beispiel – Multi Site-2-Site Verbindung
Point-2-Site Verbindungen (P2S) - Übersicht
Abbildung 2.1-3: Beispiel – P2S Verbindungen
ExpressRoute Verbindungen laufen nicht über das öffentliche Internet, sondern über private MPLS Leitungen welche vom jeweiligen lokalen Internet-Provider direkt zum nächstgelegenen Einstiegspunkt des MGN (Microsoft Global Network) geschalten werden. Damit bieten ExpressRoute Verbindungen eine höhere Sicherheit, größere Zuverlässigkeit (sie werden standardmäßig immer über zwei parallele Verbindungen geschalten) und eine höhere Performance bei geringerer Latenz als herkömmliche öffentliche Verbindungen.
Zusammenfassung:
Abbildung 2.1-4: Darstellung ExpressRoute – Quelle: Microsoft TechNet
