Image 2
Alle Artikel anzeigen

Die Secure Phase des CAF als Fundament für Sicherheit der Azure Cloud

In diesem Beitrag der Azure Governance Starter Blog-Reihe erfährst du, wie die Secure-Phase des Microsoft Cloud Adoption Frameworks Sicherheit als kontinuierlichen Prozess etabliert.

Mertkan Henden

Mertkan Henden

Software Engineer

Microsoft Azure
Cloud
Security
Image

Einleitung

Die Secure-Phase im Microsoft Cloud Adoption Framework (CAF) stellt sicher, dass die Cloud-Nutzung von Beginn an auf einem soliden Sicherheitsfundament aufbaut. Während andere CAF-Phasen eher organisatorische oder technische Aspekte adressieren, zieht sich Sicherheit wie ein roter Faden durch alle Bereiche der Cloud-Einführung und -Nutzung.

Sicherheit ist dabei kein Endzustand, sondern ein kontinuierlicher Prozess. Bedrohungen ändern sich ständig, neue Services kommen hinzu und die Anforderungen von Business, Regulierung und Technik wachsen stetig. Die Secure-Phase sorgt dafür, dass diese Dynamik kontrolliert und in ein belastbares Sicherheitsmodell überführt wird.

Einordnung der Secure-Phase

Die Secure-Phase begleitet das gesamte Cloud Adoption Framework (CAF) und ist somit keine eigenständige Phase, sondern ein dauerhafter Begleiter aller Phasen. Von der ersten Strategieentwicklung über die Planung und Vorbereitung bis hin zur Einführung, Steuerung und dem operativen Betrieb ist Sicherheit immer mitzudenken.

Das Besondere an der Secure-Phase ist, dass sie methodenübergreifend wirkt. Sie sorgt dafür, dass in jeder CAF-Phase klare Leitplanken für Vertraulichkeit, Integrität, Verfügbarkeit und Vorfallreaktion gesetzt werden. Damit entsteht ein Sicherheitsmodell, das nicht punktuell, sondern ganzheitlich funktioniert.

Im Ergebnis stellt die Secure-Phase sicher, dass Azure-Umgebungen nicht nur technisch funktionsfähig, sondern auch belastbar, regelkonform und widerstandsfähig gegenüber Bedrohungen betrieben werden können.

Die Secure-Phase im Cloud Adoption Framework (CAF) lässt sich dabei in sechs Handlungsfelder einteilen. In der folgenden Abbildung sind dazu die sechs Handlungsfelder konkret dargestellt.

Übersicht der Secure-Phase im Cloud Adoption Framework

Sicherheitsteams etablieren mit klaren Rollen und Funktionen

Ein belastbares Sicherheitsmodell in Azure steht und fällt mit einer sauberen Rollen- und Aufgabenverteilung. Die Secure-Phase beginnt deshalb mit der Definition der Sicherheitsteams, Rollen und Funktionen, die in der Organisation benötigt werden. Ziel ist es, klare Verantwortlichkeiten zu schaffen, Überschneidungen zu vermeiden und Zusammenarbeit zwischen Security, IT und Business sicherzustellen.

Die klassische Trennung zwischen IT-Betrieb und Sicherheit reicht in der Cloud nicht mehr aus. Sicherheitsrollen verändern sich durch folgende Faktoren grundlegend:

  • SaaS-basierte Security-Tools: Weniger Fokus auf den Betrieb von Security-Infrastruktur, mehr Fokus auf Konfiguration und Governance.
  • Security by Design: Entwickler- und Plattformteams müssen Sicherheitsmaßnahmen direkt in ihre Workloads integrieren (DevSecOps).
  • Zero Trust: Identitäten, Anwendungen, Endpunkte und Netzwerke müssen ganzheitlich betrachtet werden.
  • Agilität: Sicherheitsrollen müssen mit der Geschwindigkeit von Cloud-Deployments Schritt halten und Automatisierung einsetzen.

Damit wandeln sich Sicherheitsteams von Kontrollinstanzen zu Enablern, die den sicheren Weg zum einfachsten Weg machen.

Ein vollständiges Sicherheitsmodell umfasst zusätzlich verschiedene Teams und Funktionen. Je nach Größe einer Organisation können mehrere Rollen in einer Person gebündelt oder in dedizierten Abteilungen getrennt sein.

Clouddienstanbieter (Shared Responsibility):

  • Basis-Sicherheitsfunktionen der Plattform (bspw. physische Sicherheit, Basisdienste, Zertifizierungen).
  • Bereitstellung von Security-Features wie Defender for Cloud oder Entra ID.
  • Transparenz über Sicherheitskontrollen über Trust Center und Audit-Reports.

Infrastruktur- und Plattformteams

  • Umsetzung von Sicherheitskontrollen für Compute-, Netzwerk-, Container-, Storage-Ressourcen.
  • Absicherung von CI/CD-Pipelines und Automatisierungsumgebungen.
  • Enge Zusammenarbeit mit Security Architecture und Compliance-Teams.

Sicherheitsarchitektur, Engineering und Posture Management

  • Übersetzung von Security-Policies in konkrete Entwurfsmuster (IAM, Netzwerksicherheit, AppSec, Data Protection).
  • Posture Management durch Schwachstellenmanagement und Security Exposure Management.
  • Zentrale Aufgaben wie die Durchsetzung von Standards, Überwachung und Optimierung des Sicherheitsstatus und Beratung und Enablement der Workload-Teams.

Security Operations

  • Triage: Erstbewertung und Eskalation von Alerts.
  • Analyse: Untersuchung komplexer Angriffe und koordinierte Response.
  • Threat Hunting & Detection Engineering: Proaktive Suche nach Angriffen, Entwicklung neuer Detection-Regeln.
  • Threat Intelligence: Einbindung externer Bedrohungsinformationen und Ableitung von Schutzmaßnahmen.

Governance, Risk & Compliance (GRC)

  • Governance: Entscheidungsrechte, Richtlinien, Policy-Katalog.
  • Risk Management: Bewertung von Bedrohungen und Schwachstellen im Business-Kontext.
  • Compliance: Sicherstellen gesetzlicher Vorgaben.
  • Zusammenarbeit mit Cloud-Teams, um regulatorische Anforderungen technisch abzubilden.

Security Awareness & Training

  • Schulung aller Teams im Umgang mit Phishing, Secrets, Patching, Cloud-spezifischen Risiken.
  • Kontinuierliche Trainingszyklen statt einmaliger Awareness-Kampagnen.

Cloud-Sicherheit als zentraler Bestand der Cloud-Akzeptanz etablieren

Cloud-Sicherheit ist nicht optional, sondern der entscheidende Erfolgsfaktor für die Akzeptanz von Cloud in einer Organisation. Wer in die Cloud migriert, verschiebt nicht nur Workloads, sondern auch Verantwortlichkeiten, Bedrohungsszenarien und Kontrollmechanismen. Während in klassischen Rechenzentren Sicherheitsgrenzen oft physisch definiert waren, erfordert die Cloud einen Ansatz, der Identität, Daten, Workloads und Netzwerke gleichermaßen umfasst. Deshalb muss Sicherheit bereits in der Strategiephase der Cloud-Akzeptanz als zentraler Bestandteil verankert werden und nicht als nachträgliche Ergänzung.

Eine tragfähige Sicherheitsstrategie beginnt mit der Definition klarer Leitprinzipien. Das Microsoft-Framework für Zero Trust liefert hier die notwendigen Grundlagen. In der Praxis bedeutet dies, dass Identitäten mit Multi-Faktor-Authentifizierung und bedingtem Zugriff abgesichert werden, dass privilegierte Rollen nur über Privileged Identity Management (PIM) temporär vergeben werden und dass jede Ressource so segmentiert ist, dass ein Kompromittieren eines Systems nicht automatisch den Zugriff auf andere Systeme ermöglicht. Diese Prinzipien sind nicht abstrakt, sondern lassen sich in Azure durch konkrete Services wie Entra ID, Azure Policy, Microsoft Defender for Cloud und Key Vault technisch umsetzen.

Neben Identität und Zugriffskontrolle gehört die Incident Readiness zur strategischen Grundlage. Unternehmen müssen davon ausgehen, dass Angriffe unvermeidbar sind. Dadurch ist entscheidend, wie schnell sie erkannt und eingegrenzt werden können. Daher sollten bereits in der Strategiephase Playbooks für die häufigsten Angriffsszenarien entworfen, zentrale Monitoring- und Logging-Lösungen wie Microsoft Sentinel eingeplant und organisatorische Eskalationswege definiert werden. So wird sichergestellt, dass Incident Response nicht erst im Ernstfall ad hoc entwickelt, sondern im Vorfeld eingeübt wird.

Darüber hinaus liefert die CIA-Triade (Confidentiality, Integrity, Availability) den Orientierungsrahmen für jede Architekturentscheidung. Vertraulichkeit bedeutet etwa, dass alle Daten per Standard verschlüsselt werden und DLP-Regeln (Data Loss Prevention) aktiv sind. Integrität verlangt, dass Konfigurationen reproduzierbar über Infrastructure as Code bereitgestellt und kontinuierlich auf Drift überprüft werden. Verfügbarkeit wiederum erfordert, dass kritische Workloads über mehrere Availability Zones verteilt werden und Disaster-Recovery-Szenarien regelmäßig getestet werden. Indem diese drei Prinzipien strategisch festgeschrieben werden, entsteht eine Architektur, die nicht nur technisch robust ist, sondern auch regulatorischen Anforderungen wie DSGVO, ISO 27001 oder NIS2 entspricht.

Wesentlich ist außerdem der Gedanke der kontinuierlichen Verbesserung. Cloud-Sicherheit kann nicht in einer einmaligen Maßnahme eingefroren werden, da sich Bedrohungen, Plattformdienste und regulatorische Rahmenbedingungen stetig verändern. Deshalb gehört zu einer Sicherheitsstrategie immer auch ein Mechanismus für Messung und Optimierung. Azure Secure Score, Compliance Dashboards, automatisierte Policies und ein regelmäßiger Review-Prozess im Governance Board. So wird Sicherheit von einer statischen Anforderung zu einem dynamischen Steuerungselement, das mit der Cloud-Umgebung wächst.

Die Etablierung von Sicherheit als zentralem Bestandteil der Cloud-Akzeptanz bedeutet also, dass jede strategische Entscheidung, ob zur Workload-Migration, zu neuen Plattformservices oder zur globalen Expansion durch eine Sicherheitsbrille betrachtet wird. Sicherheit wird damit nicht zum Blockierer, sondern zum Enabler. Sie schafft Vertrauen für die Geschäftsführung, Fachbereiche, Kunden und Aufsichtsbehörden und reduziert langfristige Risiken und stellt damit sicher, dass die Cloud-Transformation nicht nur technisch funktioniert, sondern auch nachhaltig akzeptiert wird.

Landing Zones als Fundament der Cloud-Sicherheit

Eine gut umgesetzte Azure Landing Zone dient nicht nur als technisches Setup für Ihre Workloads, sondern bietet ein Framework für die Vorgabe von Sicherheitsrichtlinien für Identitäten, Netzwerk-Komponenten, Ressourcengruppen und Ressourcen. Sie bündelt Ihre Maßnahmen für Monitoring, Governance und Compliance und bietet eine reproduzierbare Cloud-Infrastruktur.

Wie bereits in zuvorigen Kapiteln und Beiträgen aufgegriffen ist das Zero-Trust-Modell ebenso die Grundlage für Ihre Landing Zones:

  • Kein Zugriff ohne explizite Verifizierung (Identität, Gerätestatus, Kontext).
  • Prinzip der geringsten Rechte für Benutzer, Workloads und Services.
  • Annahme, dass jedes System kompromittiert werden kann. Daher Segmentierung, Verschlüsselung und Telemetrie in allen Ebenen.

Kernaspekte Ihrer sicheren Landing Zones:

  • Identität & Zugriff: Zentrale Verwaltung über Entra ID, MFA und Conditional Access; Einsatz von Privileged Identity Management für Admins.
  • Netzwerksicherheit: Standardisierte Topologien (Hub-Spoke, Virtual WAN), Zwang zu Private Endpoints, Netzwerksicherheitsgruppen und Firewall-Kontrollen.
  • Ressourcen- und Policy-Management: Klare Struktur über Management Groups, konsistente Tagging-Standards und automatisierte Richtlinien mit Azure Policy & Initiatives.
  • Monitoring & Compliance: Einheitliches Logging (Log Analytics), Integration in Microsoft Sentinel, kontinuierliche Bewertung mit Secure Score und Compliance Checks.
  • Daten- und Workload-Schutz: Verschlüsselung at rest/in transit, Customer-Managed Keys, DLP-Regeln, Defender for Cloud als durchgängiger Sicherheitslayer.

Sicherheit durch Automatisierung und Kontrolle

Nach einer gewissen Zeit finden Sie Ihre Cloud-Infrastruktur mit einer erhöhten Komplexität vor. Mehrere Stages, Abteilungen und Regionen können aufeinmal dazu führen, dass sie die Übersicht über die Cloud-Nutzung verlieren. Um das zu verhindern sollten Sie von Beginn an Automatisierung als zentrale Methodik etablieren, um die Kontrolle beizubehalten.

Sie können durch Automatisierung dabei folgendermaßen profitieren:

  • Konsistenz: Gleiche Sicherheitsrichtlinien in jeder Subscription, jeder Region und jedem Deployment.
  • Fehlerreduktion: Weniger menschliche Eingriffe, weniger Fehlkonfigurationen.
  • Skalierbarkeit: Ihre Cloud-Sicherheit skaliert gemeinsam mit Ihren Ressourcen.
  • Nachvollziehbarkeit: Automatisierte Prozesse sind dokumentierbar und auditierbar.

Die Kombination aus Infrastructure as Code + Policy as Code + Monitoring bildet ein Kontrollsystem, das sowohl technische als auch regulatorische Anforderungen abdeckt:

  • Jede Änderung läuft über Pipelines → Review, Test, Genehmigung.
  • Jede Abweichung von Policies wird automatisch erkannt → Audit oder Remediation.
  • Jede kritische Aktivität wird protokolliert → SIEM & Audit-Trail.

Damit wird Kontrolle nicht durch manuelle Reviews, sondern durch automatisierte Prozesse sichergestellt.

Aufgaben in der Secure-Phase

Nachdem wir die Handlungsfelder der Secure-Phase näher dargelegt haben, möchte ich in diesem Kapitel nochmals die konkreten Aufgaben der Secure-Phase zusammenfassen.

  1. Modernisierung der Sicherheitsarchitektur: Anpassung und Weiterentwicklung an neue Bedrohungen und Technologien.
  2. Vorbereitung und Reaktion auf Sicherheitsvorfälle: Prozesse, Rollen und Tools, um auf Angriffe vorbereitet zu sein.
  3. CIA-Triade: Vertraulichkeit, Integrität und Verfügbarkeit als Basis jeder Sicherheitsstrategie.
  4. Kontinuierliche Verbesserung: Security ist nie abgeschlossen, sondern wird laufend überprüft und angepasst.

Modernisierung der Sicherheitsarchitektur

Branchenspezifische Richtlinien und der allgemeine Schutz der Cloud-Infrastruktur ist ein wesentlicher Bestandteil bei der Konzeption und Umsetzung von Cloud-Architekturen. Damit der Schutz Ihrer Workloads und darunterliegenden Ressourcen gegeben ist, werden in der Regel die folgenden Handlungsfelder näher betrachtet und einzelne Maßnahmen getroffen.

  • Identität & Zugriff: Absicherung mit Entra ID, MFA, Conditional Access und rollenbasierten Berechtigungen.
  • Netzwerk & Perimeter: Mikrosegmentierung, Private Endpoints, Just-in-Time-Zugriff.
  • Daten & Workloads: Klassifizierung, Verschlüsselung, Schutz vor Datenabfluss.
  • Bedrohungserkennung: Defender for Cloud, Microsoft Sentinel, automatisierte Alerts.
  • Automatisierung: Policies und Security-Kontrollen als Code implementieren, um Konsistenz sicherzustellen.

Vorbereitung und Reaktion auf Sicherheitsvorfälle

Jedes Unternehmen muss davon ausgehen, dass Sicherheitsvorfälle früher oder später eintreffen werden. Aus diesem Grund ist es entscheidend, dass Sie im Voraus Maßnahmen und Werkzeuge etabliert haben, die entweder derartige Vorfälle verhindern oder die Auswirkungen dieser Vorfälle reduzieren.

  • Runbooks & Playbooks: klare Abläufe für typische Szenarien.
  • Erkennung: Log Analytics, SIEM/SOAR, Echtzeitüberwachung.
  • Eskalation & Reaktion: definierte Rollen, Kommunikationswege und technische Maßnahmen.
  • Lernen aus Vorfällen: Nachbereitung, Lessons Learned und Anpassung der Prozesse.

So entsteht eine Kultur, in der Security Incidents kontrolliert statt chaotisch ablaufen.

Die CIA-Triade als Leitmodell

Die CIA-Triade ist ein einfaches, aber sehr wirkungsvolles Modell, um Informationssicherheit verständlich und greifbar zu machen. Die drei Buchstaben stehen für die Grundprinzipien Confidentiality, Integrity und Availability. Sie bilden den Kern, an dem sich jede Sicherheitsstrategie orientieren sollte egal ob in der Cloud oder On-Premises.

  • Confidentiality (Vertraulichkeit): Vertraulichkeit bedeutet, dass nur berechtigte Personen oder Systeme auf Daten zugreifen dürfen. Typische Maßnahmen sind starke Authentifizierung, Zugriffskontrollen und Verschlüsselung.

  • Integrity (Integrität): Integrität stellt sicher, dass Daten und Systeme korrekt, vollständig und unverändert bleiben. Manipulationen müssen sofort erkannt oder verhindert werden durch Prüfsummen, digitale Signaturen oder Audit-Logs.

  • Availability (Verfügbarkeit): Verfügbarkeit bedeutet, dass Informationen und Systeme dann erreichbar sind, wenn sie benötigt werden. Gerade in der Cloud ist es entscheidend, dass Anwendungen zuverlässig laufen und Daten jederzeit abrufbar sind. Typische Maßnahmen sind dabei Redundanz, Backups, Lastverteilung und Notfallpläne.

Die Stärke der CIA-Triade liegt in ihrer Einfachheit. Sie reduziert komplexe Sicherheitsfragen auf drei Kernziele, die jeder verstehen kann. Wenn ein Unternehmen Maßnahmen konsequent an Vertraulichkeit, Integrität und Verfügbarkeit ausrichtet, entsteht ein klarer Rahmen, der hilft sensible Daten vor Missbrauch zu schützen, die Korrektheit und Nachvollziehbarkeit von Informationen zu sichern und die Betriebsfähigkeit auch unter Störungen oder Angriffen aufrechtzuerhalten.

Damit ist die CIA-Triade kein theoretisches Modell, sondern ein praktisches Werkzeug, um Sicherheit in der Cloud Schritt für Schritt systematisch umzusetzen.

Kontinuierliche Verbesserung

Cloud-Sicherheit ist kein Projekt mit einem klaren Enddatum, sondern ein laufender Prozess. Neue Services, Bedrohungen und regulatorische Anforderungen erfordern es, dass Sicherheitsmaßnahmen kontinuierlich überprüft, angepasst und verbessert werden. Wer auf statische Sicherheitskonzepte setzt, läuft Gefahr innerhalb weniger Monate angreifbar zu sein. Eine tragfähige Security-Strategie in Azure basiert deshalb auf einem Kreislauf aus Messen → Bewerten → Anpassen → Automatisieren. Um eine kontinuierliche Verbesserung zu erreichen, können Sie sich an den Folgenden Punkten orientieren.

  1. Regelmäßige Überprüfung mit Secure Score und Compliance Checks
  • Microsoft Secure Score liefert eine Kennzahl, die den Sicherheitsstatus einer Azure-Umgebung bewertet. Sie basiert auf der Umsetzung empfohlener Konfigurationen wie MFA, bedingter Zugriff oder Nutzung von PIM (Privileged Identity Management).
  • Defender for Cloud Compliance Checks gleichen die Konfigurationen mit Benchmarks wie CIS, NIST oder ISO 27001 ab.

Der Vorteil dabei ist, dass Sie mit den Microsoft Secure Score und den Defender for Cloud Checks konkrete Handlungsempfehlungen erhalten, um Ihre bestehende Cloud-Infrastruktur zu verbessern.

  1. Automatisierte Kontrollen mit Azure Policy und Initiatives
  • Mit Azure Policy lassen sich Richtlinien zentral auf Management-Group- oder Subscription-Ebene definieren und automatisch durchsetzen.
  • Initiatives bündeln mehrere Policies, bspw. für Security-Baselines oder regulatorische Vorgaben.

Durch diese Automatisierung wird sichergestellt, dass keine Ressourcen mit unerlaubten Konfigurationen aus Versehen bereitgestellt werden.

  1. Integration in DevOps-Prozesse (DevSecOps) Cloud-Infrastrukturen können durch Infrastruktur as Code bereits sehr gut in CI/CD-Pipelines integriert werden. Damit lassen sich Anpassungen an der Infrastruktur koordiniert durchführen und damit ebenfalls zusätzliche Sicherheitsmaßnahmen etablieren.
  • Code Überprüfungen: Durch dedizierte Merge Requests können automatisierte Checks nach den 4-Augen-Prinzip von weiteren Projektteilnehmern überprüft werden.
  • Workload Sicherheit: Verwendete Images und Dependencies lassen sich durch CI/CD-Werkzeuge sehr gut untersuchen und anschließend visualisieren, um Sicherheitslücken der Applikation darzustellen und konkrete Maßnahmen zu planen.
  1. Feedback-Schleifen aus Incidents und Audits Jeder Audit oder Security-Incident bietet die Gelegenheit konkrete Verbesserungen in die Sprint-Planung aufzunehmen. Um an dieser Stelle in Zukunft besser aufgestellt zu sein, können in Rahmen von Security Audits und Penetrationstests konkrete Schwachstellen in der Cloud Infrastruktur identifiziert werden. Dadurch entwickelt sich die Sicherheitsarchitektur stetig weiter und beugt zukünftige Security-Vorfälle vor.

Fazit

Die Secure-Phase des Microsoft Cloud Adoption Framework ist weit mehr als eine technische Sicherheitskontrolle, sie ist der rote Faden, der alle Phasen der Cloud-Transformation durchzieht. Zentrale Erfolgsfaktoren sind dabei:

  • klare Rollen und Verantwortlichkeiten in Security, IT und Business,
  • die Umsetzung von Zero-Trust-Prinzipien in Identität, Daten, Netzwerk und Workloads,
  • der Aufbau sicherer Landing Zones als Fundament,
  • die Nutzung von Automatisierung und Infrastructure as Code, um Konsistenz und Skalierbarkeit sicherzustellen,
  • sowie die konsequente kontinuierliche Verbesserung durch Monitoring, Audits und Feedback-Schleifen.

Damit schafft die Secure-Phase ein belastbares Sicherheitsmodell, das nicht nur regulatorischen Anforderungen gerecht wird, sondern auch Vertrauen bei Management, Kunden und Aufsichtsbehörden erzeugt. Sicherheit wird so vom Kostenfaktor zum strategischen Enabler für Cloud-Innovation.

Im nächsten und letzten Teil der Azure Governance Starter Blog-Reihe geht es um die Manage-Phase. Während die Secure-Phase den Fokus auf Schutzmechanismen legt, beleuchtet die Manage-Phase, wie Cloud-Umgebungen operativ überwacht, optimiert und langfristig gesteuert werden können. Damit schließt sich der Kreis von Strategie über Governance und Sicherheit bis hin zum operativen Betrieb entsteht ein vollständiger Leitfaden für eine nachhaltige und sichere Cloud-Governance mit Azure.

Weiterführende Links und Ressourcen

Alle Artikel anzeigen

Sie möchten mit uns zusammenarbeiten?

Wir freuen uns von Ihnen zu hören.

Sie mögen keine Formulare?

mertkan@henden-consulting.de