Schluss mit den Silos
Schaffe eine einheitliche Governance mit Purview, Azure Policy und Defender for Cloud
Von: Emil Vinčazović
In der modernen Cloud-Welt jonglierst du täglich mit einer Vielzahl von Herausforderungen. Auf der einen Seite willst du Entwicklern die Freiheit und Agilität geben, schnell neue Dienste bereitzustellen. Auf der anderen Seite musst du sicherstellen, dass die IT-Landschaft sicher ist, Compliance-Vorgaben erfüllt sind und die Kosten nicht aus dem Ruder laufen. Oft führt das zu einem Silo-Denken: Datensicherheit wird in Microsoft Purview gemanagt, die Infrastruktur-Compliance mit Azure Policy und die Security-Härtung mit Microsoft Defender for Cloud. Jeder Bereich hat seine eigenen Regeln und Zuständigkeiten. Doch was wäre, wenn du diese Silos aufbrechen und eine wirklich einheitliche, richtliniengesteuerte Governance etablieren könntest? In diesem Beitrag zeige ich dir, wie das Zusammenspiel dieser drei mächtigen Werkzeuge funktioniert und wie du damit eine Brücke zwischen Daten, Infrastruktur und Security baust.
Das Problem: Governance in getrennten Welten
Stell dir vor, dein Unternehmen beschließt, dass alle Datenbanken, die personenbezogene Daten enthalten, verschlüsselt sein müssen. Ein typischer Fall für eine Governance-Richtlinie. Doch wo setzt du diese Regel um? Auf der Datenebene mit Purview könntest du eine Richtlinie erstellen, die alle SQL-Datenbanken mit der Klassifizierung „Personenbezogene Daten“ identifiziert. Purview allein kann die Verschlüsselung jedoch nicht erzwingen. Auf der Infrastrukturebene mit Azure Policy könntest du eine Richtlinie erstellen, die prüft, ob Transparent Data Encryption (TDE) für alle SQL-Server aktiviert ist. Diese Richtlinie weiß aber nicht, welche dieser Datenbanken tatsächlich sensible Daten enthalten. Wendest du sie auf alles an, erzeugst du unnötigen Overhead. Dies führt zu Performance-Schwund und überhöhten Kosten. Wendest du sie zu selektiv an, verpasst du vielleicht eine kritische Datenbank. Auf der Security-Ebene mit Defender for Cloud wird dieser dich darauf hinweisen, dass einige Datenbanken nicht verschlüsselt sind, und dies als Sicherheitsrisiko einstufen. Er gibt dir eine Empfehlung, aber die proaktive, unternehmensweite Durchsetzung ist nicht seine primäre Aufgabe. Er gilt also eher als warnendes Glied im Unternehmen.
Du siehst das Problem. Jedes Werkzeug hat eine andere Sicht auf die Welt und spricht eine andere Sprache. Die Folge sind manuelle Abstimmungsprozesse, potenzielle Regelungslücken und eine reaktive statt proaktive Governance. Das kann sich jedoch ändern.
Die Lösung: Eine Brücke zwischen den Welten bauen
Die wahre Stärke entfaltet sich, wenn du diese drei Dienste miteinander verbindest. Das Ziel ist eine Policy-driven Governance, bei der eine zentrale Absicht (z.B. „Schütze sensible Daten“) automatisch in konkrete, technische Kontrollen auf allen Ebenen übersetzt wird.
Schritt 1: Die Daten verstehen mit Microsoft Purview
Alles beginnt mit den Daten. Purview ist deine zentrale Wahrheit für die Datenklassifizierung. Wie in vorherigen Beiträgen von mir besprochen, nutzt du Purview, um deine gesamte Datenlandschaft zu scannen und sensible Informationen mithilfe von Sensitive Information Types, Trainable Classifiers oder Exact Data Match zu identifizieren. Das Ergebnis ist ein umfassender Datenkatalog, der jede Ressource mit Metadaten anreichert. Eine Azure SQL-Datenbank ist dann nicht mehr nur eine Datenbank, sondern eine „Datenbank, die EU-Bürgerdaten enthält“ (Klassifizierung: „DSGVO – Personenbezogene Daten“). Diese Klassifizierung ist der entscheidende Auslöser für alles Weitere.
Schritt 2: Infrastruktur härten mit Azure Policy
Jetzt kommt Azure Policy ins Spiel. Azure Policy ist das Regelwerk für deine gesamte Azure-Infrastruktur. Du kannst damit Richtlinien definieren, die zum Beispiel vorschreiben, dass virtuelle Maschinen nur aus bestimmten Images erstellt werden dürfen, dass keine öffentlichen IP-Adressen an bestimmte Subnetze angehängt werden oder eben, dass die Verschlüsselung für Speicherkonten aktiviert sein muss.
Der Clou ist die Integration mit Purview. Anstatt eine breite, unspezifische Richtlinie zu erstellen, kannst du Azure Policy anweisen, auf die Klassifizierungen von Purview zu reagieren. Eine Richtlinie könnte lauten: „Wenn eine Azure SQL-Datenbank in Purview als ‚Streng Vertraulich‘ klassifiziert ist, prüfe, ob Transparent Data Encryption (TDE) aktiviert ist. Wenn nicht, melde einen Compliance-Verstoß.“ Du kannst sogar noch einen Schritt weiter gehen und Deny- oder DeployIfNotExists-Effekte nutzen, um unsichere Konfigurationen von vornherein zu blockieren oder automatisch zu korrigieren. Dies könnte allerdings zu Frustration bei Entwicklern führen und sollte bedacht werden.
Schritt 3: Security Posture überwachen mit Defender for Cloud
Microsoft Defender for Cloud agiert als dein zentrales Dashboard für die Sicherheitslage. Er sammelt Signale von allen deinen Ressourcen und bewertet sie anhand von etablierten Sicherheits-Frameworks wie dem CIS Benchmark oder NIST. Die Integration mit Azure Policy ist hier nahtlos, denn die meisten Sicherheitsempfehlungen im Defender for Cloud sind im Kern Azure Policy-Definitionen.
Wenn deine Azure Policy, die auf einer Purview-Klassifizierung basiert, einen Verstoß feststellt (z.B. eine unverschlüsselte Datenbank mit sensiblen Daten), wird dieser Verstoß automatisch im Defender for Cloud als Sicherheitsempfehlung mit hoher Priorität angezeigt. Dein Security-Team muss also nicht mehr manuell die Datenklassifizierung prüfen. Sie sehen sofort, dass hier ein echtes Risiko vorliegt, weil nicht irgendeine Test-Datenbank, sondern eine produktive Datenbank mit Kundendaten betroffen ist. Dies ermöglicht eine risikobasierte Priorisierung der anstehenden Aufgaben.
Das Zusammenspiel im Praxisbeispiel
Lass uns das an einem Beispiel durchspielen: Du möchtest sicherstellen, dass alle Azure Storage Accounts, die als „Projektintern“ klassifizierte Dokumente enthalten, keinen öffentlichen Zugriff erlauben. Zuerst konfigurierst du Purview so, dass es deine Storage Accounts scannt und Dokumente, die interne Projektnamen oder -nummern enthalten, als „Projektintern“ klassifiziert. Dies ist der Purview-Scan. Weitere Infos dazu findest du in anderen Purview-Beiträgen von mir.
Anschließend erstellst du eine benutzerdefinierte Azure Policy. Die Logik der Richtlinie lautet: „Für jeden Storage Account, der von Purview die Klassifizierung ‚Projektintern‘ erhalten hat, prüfe die Eigenschaft allowBlobPublicAccess. Wenn diese true ist, löse einen Audit-Event aus.“ Dies ist die Azure Policy Erstellung. Der Defender for Cloud nimmt diese Azure Policy als Teil seiner Sicherheitsbewertung auf. Sobald ein Entwickler versehentlich den öffentlichen Zugriff auf einen dieser Storage Accounts aktiviert, erscheint im Defender eine kritische Warnung. Dies ist die Überwachung im Defender. Optional könntest du die Azure Policy sogar so konfigurieren, dass sie den Effekt Deny hat. In diesem Fall würde der Versuch, den öffentlichen Zugriff zu aktivieren, von vornherein blockiert werden, mit einer klaren Fehlermeldung, die auf die Unternehmensrichtlinie verweist. Dies ist die Automatisierte Reaktion.
Fazit: Von reaktiver Kontrolle zu proaktiver Governance
Das Zusammenspiel von Microsoft Purview, Azure Policy und Defender for Cloud ermöglicht einen Paradigmenwechsel. Du bewegst dich weg von einer fragmentierten, reaktiven Kontrolle in Silos hin zu einer integrierten, proaktiven und richtliniengesteuerten Governance. Indem du die Datenklassifizierung als zentrale Wahrheit etablierst, kannst du intelligente und kontextbezogene Regeln für deine Infrastruktur und Sicherheit definieren. Das Ergebnis ist eine robustere Sicherheitslage, eine vereinfachte Compliance und die Gewissheit, dass deine Governance-Richtlinien nicht nur auf dem Papier existieren, sondern in deiner gesamten Cloud-Umgebung aktiv durchgesetzt werden.
Quellen
- Azure Policy Dokumentation: https://docs.microsoft.com/de-de/azure/governance/policy/
- Microsoft Defender for Cloud Dokumentation: https://docs.microsoft.com/de-de/azure/defender-for-cloud/
- Integration von Purview und Defender for Cloud: https://techcommunity.microsoft.com/t5/microsoft-security-azure-ad/microsoft-purview-and-microsoft-defender-for-cloud-better/ba-p/3783219
Einführung in Ethical Hacking
IT-Sicherheit beginnt mit dem Verständnis von Angriffsmethoden. Mit Kali Linux, dem Standardwerkzeug für Ethical Hacking, führt dieser Kurs durch den kompletten Prozess von der Einrichtung einer sicheren Testumgebung über die systematische Aufklärung bis hin zur fachgerechten Spurenbeseitigung. Dieser Kurs bietet einen praxisnahen Einstieg in die IT-Sicherheit mit Kali Linux, der führenden Plattform für Penetrationstests und Ethical Hacking.
