Implementieren von Sicherheit für Server und virtuelle Computer

Implementieren von mehrschichtigen Sicherheitskontrollen auf Azure virtuellen Computern und Arc-fähigen Hybridservern. Konfigurieren Sie Datenträgerverschlüsselungsoptionen, einschließlich Verschlüsselung auf Host mit vom Kunden verwalteten Schlüsseln und vertraulicher Datenträgerverschlüsselung. Aktivieren Sie Sicherheitsfeatures für vertrauenswürdige Starts – sicheres Starten, vTPM und Integritätsüberwachung – zum Schutz vor Bedrohungen auf Startebene. Entfernen Sie die öffentliche RDP- und SSH-Exposition mit Azure Bastion. Erweitern Sie Azure Sicherheitsgovernance auf lokale und multicloud-Server mit Azure Arc. Stellen Sie Microsoft Defender für Server für Sicherheitsrisikoüberprüfung, Endpunkterkennung, agentlose Computerüberprüfung und Dateiintegritätsüberwachung bereit. Erzwingen Sie just-in-time-VM-Zugriff, um dauerhaft geöffnete Verwaltungsports zu beseitigen. Verwenden Sie Azure Machine Configuration, um die Einhaltung von Sicherheitsbaselines für Betriebssysteme in Ihrer gesamten Serverlandschaft zu überwachen und durchzusetzen.

Voraussetzungen

  • Arbeitskenntnisse in Azure Virtual Machines, einschließlich Bereitstellung und Verwaltung von VMs
  • Vertrautheit mit Microsoft Defender for Cloud auf grundlegender Ebene
  • Grundlegendes zu Azure rollenbasierten Zugriffssteuerung (RBAC) und Azure Policy-Grundlagen
  • Vertrautheit mit Azure Arc Serverkonnektivität
  • Abschluss von „Verbinden von Hybrid- und Multicloud-Umgebungen mit Microsoft Defender for Cloud“ (oder gleichwertige Kenntnisse über diesen Inhalt)
  • Abschluss des Kurses "Aktivieren und Konfigurieren von Arbeitslastschutzplänen in Microsoft Defender for Cloud" oder gleichwertige Kenntnisse.

Erste Schritte mit Azure

Wählen Sie das für Sie geeignete Azure-Konto aus. Nutzen Sie die Vorausbezahlung, oder testen Sie Azure kostenlos für bis zu 30 Tage. Registrieren Sie sich.

Module in diesem Lernpfad

Wählen Und konfigurieren Sie den richtigen Datenträgerverschlüsselungsansatz für Azure virtuellen Computer. Vergleichen Sie die Verschlüsselungsoptionen für verwaltete Datenträger, konfigurieren Sie die Verschlüsselung auf Host mit vom Kunden verwalteten Schlüsseln mithilfe von Datenträgerverschlüsselungssätzen, wenden Sie vertrauliche Datenträgerverschlüsselung auf vertrauliche virtuelle Computer an, und erzwingen Sie die Datenträgerverschlüsselungscompliance mithilfe von Azure Policy.

Konfigurieren von Trusted Launch-Sicherheitsfunktionen für virtuelle Computer in Azure. Aktivieren Sie die Überwachung des sicheren Starts, vTPM und der Integrität, um vor Schadsoftware und Rootkits auf Startebene zu schützen. Aktualisieren Sie vorhandene Gen1- und Gen2-VMs auf den Sicherheitstyp "Vertrauenswürdige Start", und erzwingen Sie die Einführung im großen Maßstab mithilfe von Azure Policy.

Planen und bereitstellen Sie Azure Bastion, um sicheren, browserbasierten RDP- und SSH-Zugriff auf virtuelle Computer bereitzustellen, ohne öffentliche IP-Adressen oder Verwaltungsports verfügbar zu machen. Wählen Sie die entsprechende SKU basierend auf Skalierungs- und Featureanforderungen aus, stellen Sie Bastion in einem Azure virtuellen Netzwerk bereit und konfigurieren Sie sie, und stellen Sie eine Verbindung mit virtuellen Computern mithilfe von Portal- und systemeigenen Clientmethoden her.

Verwalten sie Sicherheitskontrollen für Azure Arc-fähige Hybridserver. Konfigurieren Sie die Sicherheitseinstellungen für RBAC und Erweiterungen, um nicht autorisierte Änderungen an Agenten zu verhindern. Wenden Sie dann Azure Policy an, um Sicherheitsgrundwerte auf arc-registrierten Computern zu erzwingen. Überwachen Sie schließlich den Sicherheitsstatus des Hybridservers in Microsoft Defender for Cloud.

Nehmen Sie virtuelle Azure-Computer und mit Arc verbundene Hybridserver in Microsoft Defender for Servers auf. Wählen Sie Plan 1 oder Plan 2 entsprechend den Funktionsanforderungen aus, und konfigurieren Sie die Schwachstellenüberprüfung mit agentloser und agentenbasierter Defender Vulnerability Management-Funktionalität. Integrieren Sie dann Microsoft Defender for Endpoint und verwalten Sie agentlose Scanfunktionen für Softwareinventar, Geheime Schlüssel, Schadsoftwareerkennung und Dateiintegritätsüberwachung.

Aktivieren und konfigurieren Sie den Just-in-Time-VM-Zugriff in Microsoft Defender for Cloud, um dauerhaft geöffnete RDP- und SSH-Ports zu beseitigen. Konfigurieren Sie Zugriffsrichtlinien pro Port, fordern Sie zeitgebundenen Zugriff auf VMs an, überwachen Sie Zugriffsaktivitäten, und erzwingen Sie die JIT-Einführung in Ihrer VM-Umgebung mithilfe von Azure Policy.

Überprüfen und erzwingen Sie die Betriebssystem-Sicherheitskonfiguration auf Ihren Azure Virtual Machines und Arc-fähigen Servern mit Azure Computerkonfiguration. Wenden Sie integrierte Windows- und Linux-Sicherheitsgrundlinienrichtlinien an, konfigurieren Sie Überwachungs- und Erzwingungsmodi, und erstellen Sie benutzerdefinierte Computerkonfigurationen für organisationsspezifische Sicherheitsanforderungen.