Azure Security Services Azure Security Services

Technische Referenz für Schlüsselschutz, Sicherheitsstatus, Richtlinien-Governance, Netzisolation, DDoS-Abwehr, vertrauliche Compute-Modelle und IoT-Sicherheit in Azure. Technical reference for key protection, security posture, policy governance, network isolation, DDoS defense, confidential compute models, and IoT security in Azure.

8+ 8+

Kernservices Core services

CNAPP CNAPP

Posture und CWPP Posture and CWPP

Private Private

Zugriff vor Standardzugriff Access before public access

Zero Trust Zero Trust

Identität, Netzwerk, Daten Identity, network, data

⚠️ Sicherheitsdienste wirken nur zusammen ⚠️ Security services only work well together

Key Vault ohne RBAC, Defender for Cloud ohne Policy-Zwang oder Private Link ohne korrektes DNS liefern nur Teilkontrollen. Azure Security sollte immer als Architektur-Stack betrachtet werden. Key Vault without RBAC, Defender for Cloud without policy enforcement, or Private Link without correct DNS only deliver partial controls. Azure Security should always be treated as an architecture stack.

💡 Priorisiere Plattform-Defaults 💡 Prioritize platform defaults

Setze zuerst Management Groups, Azure Policy, Defender-Pläne, Netzwerksegmente, zentrale Protokollierung und schlüsselbasierte Geheimnisverwaltung. Erst danach folgen dienstspezifische Härtungen. Start with management groups, Azure Policy, Defender plans, network segmentation, centralized logging, and key-based secret management. Service-specific hardening should come afterwards.

Portfolio Portfolio

Wie sich Governance, Prävention, Isolation und Erkennung ergänzen. How governance, prevention, isolation, and detection complement each other.

Key Vault Key Vault

Schlüssel, Geheimnisse, Zertifikate, HSM, Rotation und RBAC. Keys, secrets, certificates, HSM, rotation, and RBAC.

Defender for Cloud Defender for Cloud

CSPM, CWPP-Pläne, Secure Score, JIT, ASR und Attack Path. CSPM, CWPP plans, Secure Score, JIT, ASR, and attack path.

Azure Policy Azure Policy

Effekte, Initiativen, Remediation und benutzerdefinierte Richtlinien. Effects, initiatives, remediation, and custom policies.

WAF & DDoS WAF and DDoS

DRS/OWASP-Regeln, Bot-Schutz, Protection Tiers und Telemetrie. DRS/OWASP rules, bot protection, protection tiers, and telemetry.

Private Link Private Link

Unterstützte Dienste, DNS-Muster und Private-Endpunkt-Design. Supported services, DNS patterns, and private endpoint design.

Confidential Confidential

SEV-SNP, TDX, Attestation und vertrauliche Workloads. SEV-SNP, TDX, attestation, and confidential workloads.

Defender for IoT Defender for IoT

OT-/IoT-Discovery, Sensoren und Bedrohungsanalysen. OT/IoT discovery, sensors, and threat analytics.

Azure-Sicherheitsportfolio und Architekturmodell Azure security portfolio and architecture model

Azure Security besteht nicht aus einem einzelnen Produkt, sondern aus Schichten für Identität, Geheimnisse, Richtlinien, Netzwerkisolation, Workload-Schutz, Telemetrie und Reaktion. In der Praxis greifen diese Ebenen über Management Groups, Subscriptions, VNets, Plattformdienste und Workloads ineinander. Azure Security is not a single product. It is a set of layers for identity, secrets, policy, network isolation, workload protection, telemetry, and response. In practice, these layers intersect across management groups, subscriptions, VNets, platform services, and workloads.

Ein robustes Zielbild beginnt mit Default Deny für kritische Datenpfade, privatem Datenzugriff, zentraler Richtlinienzuweisung und automatischer Sicherheitsbewertung. Danach folgen Diensthärtung, Schlüssellebenszyklen und detections-orientierte Betriebsprozesse. A robust target state starts with default-deny for critical data paths, private access for data services, centralized policy assignment, and automated security assessment. After that come service hardening, key lifecycles, and detection-oriented operating processes.

Die wichtigsten Designfragen lauten: Wer darf zugreifen, über welchen Netzwerkpfad, mit welchen Schlüsseln, unter welchen Richtlinien, mit welcher Erkennungslogik und mit welcher Wiederherstellungsstrategie? The main design questions are: who can access, over which network path, with which keys, under which policies, with which detection logic, and with which recovery strategy?

Sicherheitsbereich Security plane	Primäre Azure-Dienste Primary Azure services	Wirkung Outcome	Betriebshinweis Operating note
Geheimnisse und Schlüssel Secrets and keys	Key Vault, Managed HSM, Azure Attestation Key Vault, Managed HSM, Azure Attestation	Schutz von Daten- und Plattformschlüsseln Protection of data and platform keys	RBAC, Soft Delete, Rotation und Logging von Anfang an aktivieren Enable RBAC, soft delete, rotation, and logging from day one
Posture Management Posture management	Defender for Cloud, Secure Score, Regulatory Compliance Defender for Cloud, Secure Score, Regulatory Compliance	Laufende Bewertung von Fehlkonfigurationen und Risiken Continuous evaluation of misconfigurations and risks	Scores sind Priorisierungswerkzeuge und keine Freigabekriterien allein Scores are prioritization tools, not the only release criteria
Governance Governance	Azure Policy, Initiatives, Remediation Tasks Azure Policy, initiatives, remediation tasks	Erzwingung von Standardkonfigurationen und Nachbesserung Enforcement of standard configuration and remediation	Policy auf Management-Group-Ebene planen und Ausnahmen dokumentieren Plan policy at management group level and document exceptions
Netzwerkisolation Network isolation	Private Link, NSG, Firewall, WAF, DDoS Protection Private Link, NSG, Firewall, WAF, DDoS Protection	Kontrollierte Zugriffswege und Schutz gegen Angriffe Controlled access paths and attack protection	DNS-Design ist oft der kritischste Teil von Private Link DNS design is often the most critical part of Private Link
Workload-Schutz Workload protection	Defender for Servers, Containers, Databases, Storage Defender for Servers, Containers, Databases, Storage	Bedrohungserkennung und Härtung auf Dienstebene Threat detection and hardening at service level	Aktiviere nur die Pläne, die wirklich beobachtet und betrieben werden Enable only the plans you can actually monitor and operate
Spezialbereiche Specialized domains	Confidential Computing, Defender for IoT Confidential Computing, Defender for IoT	Schutz für besonders sensible oder industrielle Workloads Protection for highly sensitive or industrial workloads	Frühzeitig Hardware-, Netzwerk- und Compliance-Anforderungen klären Clarify hardware, network, and compliance requirements early

Management Groups sind der natürliche Ort für Security-Baselines, Allowed Locations, Tags und Diagnosepflichten. Management groups are the natural place for security baselines, allowed locations, tags, and diagnostic requirements.
Private Link schützt den Datenpfad, ersetzt aber nicht Authentifizierung, RBAC oder Datenklassifizierung. Private Link protects the data path but does not replace authentication, RBAC, or data classification.
Defender for Cloud priorisiert Findings, während Azure Policy deren erneutes Auftreten begrenzt. Defender for Cloud prioritizes findings, while Azure Policy limits their reoccurrence.
Key Vault und Managed HSM sollten zusammen mit zentraler Protokollierung und Zugriffsreviews betrieben werden. Key Vault and Managed HSM should be operated together with centralized logging and access reviews.
WAF und DDoS wirken auf unterschiedlichen Ebenen: HTTP/S-Logik versus volumetrische Netzangriffe. WAF and DDoS operate at different layers: HTTP/S logic versus volumetric network attacks.

Azure Key Vault und Managed HSM Azure Key Vault and Managed HSM

Azure Key Vault bündelt Geheimnisse, Software-Schlüssel und Zertifikate in einem verwalteten Sicherheitsdienst. Typische Muster sind App-Geheimnisse, Datenbankschlüssel, TLS-Zertifikate, Customer-Managed Keys und signierende Schlüssel für Tokens oder Dokumente. Azure Key Vault centralizes secrets, software keys, and certificates in a managed security service. Typical patterns include app secrets, database keys, TLS certificates, customer-managed keys, and signing keys for tokens or documents.

Managed HSM ist die Variante für FIPS-orientierte, HSM-gestützte Schlüsselverwahrung mit dedizierter Sicherheitsgrenze. Sie eignet sich für Root-of-Trust-Szenarien, hochkritische Verschlüsselungsschlüssel und streng regulierte Umgebungen. Managed HSM is the variant for FIPS-oriented, HSM-backed key custody with a dedicated security boundary. It fits root-of-trust scenarios, highly critical encryption keys, and strongly regulated environments.

Aktuell ist RBAC der bevorzugte Zugriffsansatz gegenüber klassischen Access Policies, weil RBAC konsistent in Azure integriert ist, PIM unterstützt und besser mit zentraler Governance, Auditierung und Trennung von Aufgaben zusammenspielt. RBAC is now the preferred access model over classic access policies because it integrates consistently across Azure, supports PIM, and works better with centralized governance, auditing, and separation of duties.

Für Produktionsumgebungen gehören Soft Delete, Purge Protection, Private Endpoints, Diagnoseeinstellungen, kontrollierte Rotation und die Vermeidung harter Geheimniswerte im Code zum Mindeststandard. For production environments, soft delete, purge protection, private endpoints, diagnostic settings, controlled rotation, and avoiding hard-coded secret values should be considered minimum standards.

⚠️ Löschen ohne Purge Protection ist ein echtes Risiko ⚠️ Deleting without purge protection is a real risk

Soft Delete schützt vor versehentlicher Löschung, aber erst Purge Protection verhindert die sofortige endgültige Entfernung kritischer Schlüsselmaterialien. Für CMK-abhängige Plattformdienste ist das besonders wichtig. Soft delete protects from accidental deletion, but purge protection prevents immediate permanent removal of critical key material. This matters especially for platform services that depend on customer-managed keys.

Objekt / Funktion Object / capability	Beschreibung Description	Typische Nutzung Typical usage	Hinweis Note
Secrets Secrets	Beliebige sensible Werte ohne kryptografische Operation Arbitrary sensitive values without cryptographic operations	Kennwörter, Connection Strings, API Keys Passwords, connection strings, API keys	Versionierung vereinfacht kontrollierte Rollouts Versioning simplifies controlled rollouts
Keys Keys	Software- oder HSM-gestützte Schlüssel mit Sign/Encrypt/Wrap Software or HSM-backed keys with sign/encrypt/wrap	CMK, Signaturen, Envelope Encryption CMK, signatures, envelope encryption	Schlüsseltypen und Kurven müssen zum Dienst passen Key types and curves must match the consuming service
Certificates Certificates	Zertifikatobjekt mit Secret und optionalem Schlüsselpaar Certificate object with secret and optional key pair	TLS, gegenseitige Authentifizierung, Legacy-Integrationen TLS, mutual authentication, legacy integrations	Ablauf- und Erneuerungsprozess immer dokumentieren Always document expiration and renewal process
Managed HSM Managed HSM	Dedizierter HSM-Dienst für hochkritische Schlüssel Dedicated HSM service for highly critical keys	Root Keys, regulierte Signaturschlüssel Root keys, regulated signing keys	Separate Rollen und Quorum-Prozesse sinnvoll Separate roles and quorum procedures are recommended
RBAC RBAC	Azure-Rollen für Data Plane und Management Plane Azure roles for data plane and management plane	Least Privilege und JIT-Zugriff Least privilege and JIT access	PIM für privilegierte Rollen einplanen Use PIM for privileged roles
Rotation Policies Rotation policies	Regeln für automatische oder geplante Schlüsselerneuerung Rules for automatic or scheduled key renewal	Regelmäßige Rotation ohne Serviceunterbrechung Regular rotation without service interruption	Anwendungen müssen mehrere Versionen tolerieren Applications must tolerate multiple versions

Verwende Managed Identities statt gespeicherter Anmeldeinformationen, wann immer ein Azure-Dienst auf ein Secret zugreift. Use managed identities instead of stored credentials whenever an Azure service reads a secret.
Trenne Verwaltungsrollen für Vault-Betrieb, Datenzugriff und Notfallwiederherstellung. Separate administrative roles for vault operations, data access, and break-glass recovery.
Leite Audit-, Zugriff- und Fehlerprotokolle an Log Analytics, Event Hub oder Storage weiter. Send audit, access, and failure logs to Log Analytics, Event Hub, or Storage.
Rotiere Zertifikate und Secrets mit ausreichend Überlappung, damit Clients alte und neue Versionen parallel akzeptieren können. Rotate certificates and secrets with enough overlap so clients can accept old and new versions in parallel.
Nutze Private Endpoints für hochkritische Vaults und blockiere Public Network Access, sofern Betriebswege vorhanden sind. Use private endpoints for highly critical vaults and disable public network access when operating paths exist.

Azure CLI


az group create --name rg-sec-core --location westeurope
az keyvault create \
  --name kv-sec-core-001 \
  --resource-group rg-sec-core \
  --location westeurope \
  --enable-rbac-authorization true \
  --enable-purge-protection true \
  --retention-days 90

az keyvault secret set \
  --vault-name kv-sec-core-001 \
  --name SqlAdminPassword \
  --value "Use-Managed-Identity-Where-Possible"

az role assignment create \
  --assignee <principalId> \
  --role "Key Vault Secrets User" \
  --scope $(az keyvault show --name kv-sec-core-001 --query id -o tsv)

PowerShell


$vault = New-AzKeyVault `
  -Name "kv-sec-core-001" `
  -ResourceGroupName "rg-sec-core" `
  -Location "westeurope" `
  -EnableRbacAuthorization `
  -EnablePurgeProtection

Set-AzKeyVaultSecret `
  -VaultName $vault.VaultName `
  -Name "StorageConnection" `
  -SecretValue (ConvertTo-SecureString "placeholder-value" -AsPlainText -Force)

Set-AzRoleAssignment `
  -ObjectId "<principalId>" `
  -RoleDefinitionName "Key Vault Secrets Officer" `
  -Scope $vault.ResourceId

Bicep


resource keyVault 'Microsoft.KeyVault/vaults@2023-07-01' = {
  name: 'kv-sec-core-001'
  location: resourceGroup().location
  properties: {
    tenantId: subscription().tenantId
    enableRbacAuthorization: true
    enablePurgeProtection: true
    enableSoftDelete: true
    softDeleteRetentionInDays: 90
    publicNetworkAccess: 'Disabled'
    sku: {
      name: 'standard'
      family: 'A'
    }
  }
}

resource privateEndpoint 'Microsoft.Network/privateEndpoints@2023-09-01' = {
  name: 'pe-kv-sec-core-001'
  location: resourceGroup().location
  properties: {
    subnet: {
      id: subnetId
    }
    privateLinkServiceConnections: [
      {
        name: 'kv-connection'
        properties: {
          privateLinkServiceId: keyVault.id
          groupIds: [ 'vault' ]
        }
      }
    ]
  }
}

Rotation, Lebenszyklus und Betriebsgrenzen Rotation, lifecycle, and operating boundaries

Automatische Rotation ist nur dann hilfreich, wenn abhängige Anwendungen die neue Version ohne manuelle Änderung übernehmen können. Bei Legacy-Anwendungen ist deshalb häufig eine orchestrierte, aber nicht vollautomatische Rotation sinnvoller. Automatic rotation is only helpful if dependent applications can adopt the new version without manual changes. For legacy applications, an orchestrated but not fully automatic rotation is often safer.

HSM-gestützte Schlüssel erhöhen die Sicherheitsgrenze, können aber auch Latenz, Kosten und Prozesskomplexität steigern. Deshalb sollten HSMs gezielt für wirklich hochwertige Schlüsselmaterialien eingesetzt werden. HSM-backed keys raise the security boundary but can also increase latency, cost, and process complexity. They should therefore be used selectively for truly high-value key material.

Setze Ablaufwarnungen früh genug, damit Zertifikatserneuerung nicht in einem Change-Freeze endet. Set expiration alerts early enough so certificate renewal does not hit a change freeze.
Dokumentiere Notfallverfahren für gelöschte oder kompromittierte Schlüssel explizit. Document emergency procedures for deleted or compromised keys explicitly.
Teste CMK-abhängige Plattformdienste nach jeder Schlüssel- oder Netzwerkrichtlinienänderung. Retest CMK-dependent platform services after every key or network policy change.

Microsoft Defender for Cloud Microsoft Defender for Cloud

Defender for Cloud ist die zentrale CNAPP-Schicht für Azure, hybride Umgebungen, AWS und GCP. Es kombiniert Foundational CSPM, Defender CSPM, DevSecOps-Funktionen und workload-spezifische Schutzpläne in einer gemeinsamen Steuerungs- und Ermittlungsoberfläche. Defender for Cloud is the core CNAPP layer for Azure, hybrid environments, AWS, and GCP. It combines foundational CSPM, Defender CSPM, DevSecOps capabilities, and workload-specific protection plans in one control and investigation surface.

Secure Score dient als priorisierte Verbesserungsansicht, während Regulatory Compliance regulatorische Frameworks wie ISO, NIS2-orientierte Kontrollen oder branchenspezifische Sets auf technische Empfehlungen abbildet. Beides ersetzt keine Architekturentscheidung, beschleunigt aber Priorisierung und Nachweisführung. Secure Score provides a prioritized improvement view, while Regulatory Compliance maps frameworks such as ISO, NIS2-oriented controls, or industry-specific sets to technical recommendations. Neither replaces architecture decisions, but both accelerate prioritization and evidence gathering.

JIT-Zugriff reduziert offene Verwaltungsports für Maschinen, Attack Path Analysis priorisiert lateral ausnutzbare Pfade, und ASR-nahe Empfehlungen gewinnen an Wirkung, wenn Defender for Servers mit Defender for Endpoint zusammen betrieben wird. JIT access reduces exposed management ports on machines, attack path analysis prioritizes laterally exploitable paths, and ASR-oriented recommendations become more useful when Defender for Servers is operated together with Defender for Endpoint.

Empfehlungen sollten nicht isoliert behandelt werden. Typischerweise übersetzt ein Security Team kritische Findings in Policy, Landing-Zone-Standards, Pipeline-Checks und Betriebs-Runbooks, damit dieselben Risiken nicht permanent wiederkehren. Recommendations should not be handled in isolation. Security teams typically translate critical findings into policy, landing-zone standards, pipeline checks, and operating runbooks so the same risks do not keep returning.

💡 Defender for Cloud ist besonders stark, wenn Empfehlungen in Governance überführt werden 💡 Defender for Cloud is strongest when recommendations become governance

Hohe Secure-Score-Gewinne ohne technische Verankerung halten selten lange. Stabil wird die Verbesserung erst durch Policy, Templates, Golden Images und wiederverwendbare Plattformmodule. High Secure Score gains rarely last without technical anchoring. Improvement becomes durable only through policy, templates, golden images, and reusable platform modules.

Plan Plan	Primärer Fokus Primary focus	Wichtige Fähigkeiten Key capabilities	Typische Abhängigkeiten Typical dependencies
Foundational CSPM Foundational CSPM	Kostenlose Basisbewertung Free baseline posture assessment	Empfehlungen, Secure Score, Inventar Recommendations, Secure Score, inventory	Management Groups, Richtlinien, Logging Management groups, policy, logging
Defender CSPM Defender CSPM	Erweiterte Posture-Funktionen Advanced posture capabilities	Attack Path Analysis, agentless scanning, Data-aware posture Attack path analysis, agentless scanning, data-aware posture	Plan-Aktivierung und unterstützte Ressourcen Plan enablement and supported resources
Defender for Servers Defender for Servers	Schutz für Windows/Linux-Server Protection for Windows/Linux servers	JIT, Schwachstellen, Integrationen mit MDE JIT, vulnerability capabilities, MDE integrations	Arc/MDE/AMA je nach Szenario Arc/MDE/AMA depending on scenario
Defender for Containers Defender for Containers	Kubernetes und Container Kubernetes and containers	Cluster-Härtung, Laufzeitschutz, Image-Insights Cluster hardening, runtime protection, image insights	AKS/Arc/Kubernetes-Integration AKS/Arc/Kubernetes integration
Defender for Storage Defender for Storage	Blob/File/Storage-Risiken Blob/File/storage risks	Malware scanning, sensitive data threat detection, SAS misuse alerts Malware scanning, sensitive data threat detection, SAS misuse alerts	Storage account onboarding und Ereignisquellen Storage account onboarding and event sources
Defender for Databases Defender for Databases	SQL, Open Source DBs, Cosmos DB SQL, open source DBs, Cosmos DB	Threat detection und DB-spezifische Schutzsignale Threat detection and DB-specific protection signals	Je nach Datenbanktyp unterschiedliche Unterpläne Different subplans by database type
Defender for App Service Defender for App Service	Web Apps und APIs auf App Service Web apps and APIs on App Service	Threat detection für Web-Workloads Threat detection for web workloads	App Service-Ressourcen und Diagnostik App Service resources and diagnostics
Defender for Resource Manager Defender for Resource Manager	Kontrollplane-Operationen Control plane operations	Erkennung verdächtiger Deployment- oder Verwaltungsaktionen Detection of suspicious deployment or management actions	ARM-Aktivität und RBAC-Transparenz ARM activity and RBAC transparency
Defender for Key Vault Defender for Key Vault	Schlüsselzugriffe und Vault-Anomalien Key access and vault anomalies	Erkennung ungewöhnlicher Data-Plane-Aktivität Detection of unusual data-plane activity	Key Vault-Diagnostik und Nutzungsszenario Key Vault diagnostics and usage pattern
Defender for APIs / AI Services Defender for APIs / AI Services	API- und GenAI-bezogene Bedrohungen API and GenAI-related threats	API discovery, posture, threat detection, AI protection API discovery, posture, threat detection, AI protection	API-Gateways, AI-Dienste und Prozessanbindung API gateways, AI services, and process integration

Funktion Capability	Beschreibung Description	Betriebsnutzen Operational value
Secure Score Secure Score	Priorisierte Bewertung des Sicherheitsstatus mit Maßnahmenvorschlägen Prioritized security posture scoring with suggested actions	Schnelle Priorisierung für Plattform- und Workload-Teams Fast prioritization for platform and workload teams
Regulatory Compliance Regulatory Compliance	Mapping von Controls auf Standards und Benchmarks Mapping of controls to standards and benchmarks	Nachweise für Audits und interne Kontrollen Evidence for audits and internal controls
Attack Path Analysis Attack Path Analysis	Graphbasierte Analyse ausnutzbarer Pfade und Berechtigungsverkettungen Graph-based analysis of exploitable paths and permission chains	Risikoreduzierung mit hoher Kontextrelevanz High-context risk reduction
JIT VM Access JIT VM Access	Temporäre Freigabe von Verwaltungsports statt permanenter Exponierung Temporary opening of management ports instead of permanent exposure	Reduktion von RDP/SSH-Angriffsfläche Reduced RDP/SSH attack surface
Agentless / vulnerability insights Agentless / vulnerability insights	Zusätzliche Bewertungsdaten ohne klassischen Agenten-Footprint Additional assessment data without classic agent footprint	Schnelleres Onboarding großer Estates Faster onboarding for large estates
ASR-nahe Empfehlungen ASR-adjacent recommendations	Empfehlungen im Zusammenspiel mit Endpoint-Härtung und MDE Recommendations when combined with endpoint hardening and MDE	Stärkeres Hardening von Server-Workloads Stronger hardening of server workloads

Aktiviere Defender-Pläne gezielt nach Datenwert, Bedrohungslage und Betriebsreife. Enable Defender plans deliberately based on data value, threat model, and operational maturity.
Nutze Secure Score nicht als KPI ohne Kontext; kritische ungepunktete Risiken müssen separat erfasst werden. Do not use Secure Score as a KPI without context; critical unscored risks must be tracked separately.
Leite hochkritische Empfehlungen in Tickets, Policy-Backlogs oder Platform Modules über. Convert high-severity recommendations into tickets, policy backlog items, or platform modules.
JIT ist besonders wirksam, wenn Verwaltungsports sonst grundsätzlich geschlossen bleiben. JIT is most effective when management ports remain closed by default.
Attack Path Analysis ist wertvoll für Priorisierung, ersetzt aber kein vollständiges Threat Modeling. Attack path analysis is valuable for prioritization but does not replace full threat modeling.

Azure CLI


az security pricing create --name VirtualMachines --tier Standard
az security pricing create --name Containers --tier Standard
az security pricing create --name StorageAccounts --tier Standard
az security pricing create --name KeyVaults --tier Standard
az security pricing create --name AppServices --tier Standard
az security pricing create --name Arm --tier Standard

PowerShell


Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
Set-AzSecurityPricing -Name "Containers" -PricingTier "Standard"
Set-AzSecurityPricing -Name "StorageAccounts" -PricingTier "Standard"
Get-AzSecuritySecureScore | Select-Object DisplayName, Score, MaxScore
Get-AzSecuritySecureScoreControl | Sort-Object Percentage | Select-Object -First 10

Azure Policy, Initiatives und Remediation Azure Policy, initiatives, and remediation

Azure Policy ist die Governance-Schicht für Standardisierung und Erzwingung. Sie bewertet Ressourcen bei Bereitstellung und im Bestand, steuert erlaubte Konfigurationen und kann mit verwalteten Identitäten automatisch fehlende Einstellungen ausrollen oder korrigieren. Azure Policy is the governance layer for standardization and enforcement. It evaluates resources at deployment time and in inventory, controls allowed configurations, and can automatically deploy or remediate missing settings by using managed identities.

Built-in Policies decken Hunderte Standards ab, darunter Allowed Locations, Required Tags, Diagnosepflichten, Netzwerkhärtung, Verschlüsselung, Kubernetes-Standards und regulatorische Baselines. Custom Policies ergänzen diese Standards für organisationsspezifische Regeln. Built-in policies cover hundreds of standards, including allowed locations, required tags, diagnostic requirements, network hardening, encryption, Kubernetes standards, and regulatory baselines. Custom policies extend those standards for organization-specific rules.

Initiatives bündeln mehrere Richtlinien unter einer Zuweisung. Das ist entscheidend für Landing Zones, weil Baselines aus Tags, Allowed SKUs, Diagnosevorgaben, Private-Link-Vorgaben und Security-Defaults typischerweise gemeinsam verwaltet werden. Initiatives group multiple policies under one assignment. This is crucial for landing zones because baselines for tags, allowed SKUs, diagnostic requirements, private-link expectations, and security defaults are typically managed together.

Remediation Tasks sind der praktische Hebel, um bestehende Ressourcen nachzuziehen. Besonders relevant ist dies für Diagnoseeinstellungen, TLS-Minimums, Verschlüsselungsoptionen oder Konfigurationen, die per deployIfNotExists oder modify ergänzt werden sollen. Remediation tasks are the practical lever for bringing existing resources up to standard. This is especially relevant for diagnostic settings, minimum TLS versions, encryption options, or configurations that should be added via deployIfNotExists or modify.

⚠️ modify, append und mutate brauchen sorgfältige Tests ⚠️ modify, append, and mutate require careful testing

Effekte, die Anfragen verändern, können mit Provider-Validierung, IaC-Diffing oder Anwendungserwartungen kollidieren. Teste Richtlinien immer gegen reale Deployments und Ausnahmen. Effects that alter requests can collide with provider validation, IaC diffing, or application expectations. Always test policies against real deployments and exception paths.

Effekt Effect	Wirkung Behavior	Typischer Einsatz Typical use
addToNetworkGroup addToNetworkGroup	Fügt Ressourcen dynamisch einer Azure Virtual Network Manager Netzgruppe hinzu Adds resources dynamically to an Azure Virtual Network Manager network group	Zentrale Netzsegmentierung Central network segmentation
append append	Ergänzt Felder in der Anfrage, bevor der Provider verarbeitet Appends fields to the request before the provider processes it	Tags oder Standardwerte ergänzen Add tags or default values
audit audit	Markiert nicht konforme Ressourcen ohne Blockierung Marks non-compliant resources without blocking	Sichtbarkeit und Reifegradaufbau Visibility and maturity building
auditIfNotExists auditIfNotExists	Prüft das Fehlen abhängiger/untergeordneter Ressourcen Checks for missing dependent or child resources	Diagnoseeinstellungen oder Erweiterungen nachweisen Validate diagnostic settings or extensions
deny deny	Blockiert Create/Update bei Verstoß Blocks create/update on violation	Harte Guardrails Hard guardrails
denyAction denyAction	Blockiert spezifische Aktionen auf vorhandenen Ressourcen Blocks specific actions on existing resources	Schutz vor Löschung oder riskanten Aktionen Protection from deletion or risky actions
deployIfNotExists deployIfNotExists	Rollt abhängige Ressourcen oder Konfiguration nach erfolgreicher Bereitstellung aus Deploys dependent resources or configuration after successful provisioning	Diagnostics, AMA, Baseline-Objekte Diagnostics, AMA, baseline objects
disabled disabled	Deaktiviert Auswertung für eine Definition/Zuweisung Disables evaluation for a definition/assignment	Temporäre Entschärfung oder Template-Wiederverwendung Temporary relaxation or template reuse
manual manual	Kennzeichnet Kontrollen, die außerhalb von Azure manuell geprüft werden Flags controls that must be checked manually outside Azure	Governance-Nachweise und Prozesskontrollen Governance evidence and process controls
modify modify	Ändert Felder in der Anfrage mit definierter Operation Changes fields in the request with a defined operation	TLS, Tags, SKU-Eigenschaften nachziehen Backfill TLS, tags, or SKU properties
mutate mutate	Erweitertes Mutationsmodell für unterstützte Provider-Szenarien Extended mutation model for supported provider scenarios	Spezielle Resource-Provider-Workflows Special resource provider workflows

Built-in-Kategorie Built-in category	Schwerpunkt Focus	Beispiele Examples
General General	Übergreifende Governance Cross-cutting governance	Allowed locations, naming, tags Allowed locations, naming, tags
Security Center / Defender Security Center / Defender	Sicherheitsstatus und Schutzpläne Security posture and protection plans	Plan enablement, recommendations, standards Plan enablement, recommendations, standards
Compute Compute	VMs, Images, Skalierung, Erweiterungen VMs, images, scaling, extensions	Disk encryption, approved images, extensions Disk encryption, approved images, extensions
Network Network	Netzwerkränder und Segmentierung Network perimeters and segmentation	NSGs, Private Link, public IP restrictions NSGs, Private Link, public IP restrictions
Storage Storage	Zugriff, Verschlüsselung, TLS Access, encryption, TLS	Public access off, encryption, diagnostics Public access off, encryption, diagnostics
Kubernetes Kubernetes	AKS- und Cluster-Härtung AKS and cluster hardening	Pod security, RBAC, ingress constraints Pod security, RBAC, ingress constraints
Monitoring Monitoring	Protokollierung und Telemetrie Logging and telemetry	Diagnostic settings, AMA, data collection Diagnostic settings, AMA, data collection
Guest Configuration Guest Configuration	OS-nahe Konfiguration innerhalb von Maschinen OS-level configuration inside machines	Baselines, audit of in-guest settings Baselines, audit of in-guest settings
Regulatory Compliance Regulatory Compliance	Framework-bezogene Bündelung Framework-based grouping	MCSB, ISO, PCI, CIS mappings MCSB, ISO, PCI, CIS mappings

Plane Policy als Code zusammen mit Landing-Zone- und Netzwerkmodulen. Plan policy as code together with landing zone and network modules.
Verwende Parameter und allowedValues, um Definitionen wiederverwendbar zu halten. Use parameters and allowedValues to keep definitions reusable.
deployIfNotExists und modify benötigen häufig eine Assignment-Identity mit passenden Rollen. deployIfNotExists and modify often require an assignment identity with appropriate roles.
Dokumentiere Exemptions mit Ablaufdatum, Verantwortlichem und Begründung. Document exemptions with expiry date, owner, and justification.
Nutze Initiatives für Baselines und Einzelrichtlinien für Spezialfälle oder temporäre Kontrollen. Use initiatives for baselines and single policies for special cases or temporary controls.

Azure CLI


az policy definition create \
  --name require-private-endpoints \
  --display-name "Require Private Endpoints for critical data services" \
  --rules policy-rule.json \
  --params policy-params.json \
  --mode All

az policy set-definition create \
  --name landing-zone-security-baseline \
  --definitions require-private-endpoints require-diagnostics disallow-public-ip

az policy assignment create \
  --name mg-security-baseline \
  --scope /providers/Microsoft.Management/managementGroups/contoso-platform \
  --policy-set-definition landing-zone-security-baseline

PowerShell


$assignment = New-AzPolicyAssignment `
  -Name "sub-diagnostics-baseline" `
  -PolicySetDefinition (Get-AzPolicySetDefinition -Name "landing-zone-security-baseline") `
  -Scope "/subscriptions/<subscriptionId>"

Start-AzPolicyRemediation `
  -Name "remediate-diagnostics" `
  -PolicyAssignmentId $assignment.PolicyAssignmentId `
  -ResourceDiscoveryMode ReEvaluateCompliance

Bicep


resource assignment 'Microsoft.Authorization/policyAssignments@2024-04-01' = {
  name: 'enforce-kv-private-access'
  scope: subscription()
  identity: {
    type: 'SystemAssigned'
  }
  properties: {
    displayName: 'Enforce private access for key vaults'
    policyDefinitionId: policyDefinitionId
    enforcementMode: 'Default'
    parameters: {
      effect: {
        value: 'deny'
      }
    }
  }
}

Web Application Firewall und DDoS Protection Web Application Firewall and DDoS Protection

Azure WAF schützt HTTP- und HTTPS-Anwendungen auf Anwendungsebene. Der Dienst wird typischerweise mit Application Gateway oder Azure Front Door kombiniert und nutzt verwaltete Regelsets auf Basis von OWASP Core Rule Set bzw. Microsoft Default Rule Set / DRS, ergänzt durch benutzerdefinierte Regeln. Azure WAF protects HTTP and HTTPS applications at the application layer. It is commonly paired with Application Gateway or Azure Front Door and uses managed rule sets based on the OWASP Core Rule Set or Microsoft Default Rule Set / DRS, extended by custom rules.

Managed Rules liefern bekannte Signaturen und Protokollnormalisierung, während Custom Rules für Geo-Fencing, Header-/Path-Blockierungen, IP-Listen, Rate Limits oder Freigaben eingesetzt werden. Bot Protection ergänzt dies für bekannte Bot-Kategorien und automatisierte Missbrauchsszenarien. Managed rules provide known signatures and request normalization, while custom rules cover geo-fencing, header/path blocking, IP lists, rate limits, or allow lists. Bot protection complements this for known bot categories and automated abuse scenarios.

DDoS Protection wirkt tiefer im Netzwerkstack und adressiert volumetrische, Protokoll- und Ressourcenerschöpfungsangriffe gegen öffentliche IPs. Für unternehmenskritische Internet-Expositionen ist DDoS Protection ein Netzwerkgrundschutz und kein Ersatz für WAF oder Anwendungsauthentifizierung. DDoS Protection works lower in the network stack and addresses volumetric, protocol, and resource exhaustion attacks against public IPs. For business-critical internet exposure, DDoS Protection is a network baseline, not a replacement for WAF or application authentication.

Telemetrie umfasst WAF-Logs, Metriken, DDoS-Mitigation-Events, Mitigation Flow Logs und Reports. Die Stärke liegt in der Kombination: Angriffsvolumen, geblockte Rule IDs, betroffene Endpunkte und die Zeitachse können gemeinsam ausgewertet werden. Telemetry includes WAF logs, metrics, DDoS mitigation events, mitigation flow logs, and reports. The value comes from correlation: attack volume, blocked rule IDs, affected endpoints, and the timeline can be analyzed together.

⚠️ WAF ist kein Ersatz für App- oder API-Sicherheit ⚠️ WAF is not a replacement for application or API security

Authentifizierung, Autorisierung, sichere Session-Verwaltung, Eingabevalidierung und Geheimnismanagement bleiben in der Anwendung oder im API-Gateway verankert. WAF reduziert Risiko, beseitigt aber keine Designfehler. Authentication, authorization, safe session handling, input validation, and secret management still belong in the application or API gateway. WAF reduces risk but does not eliminate design flaws.

WAF-Funktion WAF feature	Beschreibung Description	Typische Nutzung Typical usage
OWASP CRS / DRS OWASP CRS / DRS	Verwaltete Regelsets für bekannte Webangriffsmuster Managed rule sets for known web attack patterns	SQLi, XSS, Path Traversal, Request Anomalies SQLi, XSS, path traversal, request anomalies
Custom Rules Custom rules	Priorisierte, organisationsspezifische Regeln Prioritized organization-specific rules	Rate limiting, IP allow/block, header/path filters Rate limiting, IP allow/block, header/path filters
Bot Protection Bot protection	Klassifikation und Abwehr bekannter Bot-Typen Classification and blocking of known bot types	Credential stuffing, scraping, abusive automation Credential stuffing, scraping, abusive automation
Exclusions/Tuning Exclusions/tuning	Ausnahmen für legitime Anwendungen oder Pfade Exclusions for legitimate applications or paths	False-Positive-Reduktion False-positive reduction
WAF-Logs WAF logs	Erfasste Rule IDs, Request-Kontext und Aktion Captured rule IDs, request context, and action	Fehlersuche, Threat Hunting, Tuning Troubleshooting, threat hunting, tuning

DDoS-Tier DDoS tier	Schutzebene Protection scope	Telemetrie Telemetry	Hinweis Note
Basisplattform-Schutz Platform baseline protection	Standardmäßiger Azure-Schutz für Plattforminfrastruktur Default Azure protection for platform infrastructure	Begrenzte kundenseitige Sichtbarkeit Limited customer visibility	Nicht ausreichend für exponierte geschäftskritische Dienste Not sufficient for internet-exposed business critical services
DDoS Network Protection DDoS Network Protection	VNet-gebundener Schutz für öffentliche IP-Ressourcen VNet-bound protection for public IP resources	Metriken, Mitigation Reports, Flow Logs, Alerts Metrics, mitigation reports, flow logs, alerts	Typischer Enterprise-Standard für kritische Workloads Typical enterprise baseline for critical workloads
DDoS IP Protection DDoS IP Protection	Schutz auf Ebene einzelner Public IPs Protection at individual public IP level	Ähnliche Schutzsignale, fokussierter Zuschnitt Similar protection signals, narrower scope	Sinnvoll für selektive Expositionen Useful for selective exposures

Custom Rules werden vor Managed Rules für zentrale Block-/Allow-Entscheidungen genutzt. Custom rules are used ahead of managed rules for central block/allow decisions.
Lege WAF zunächst im Detection/Prevention-Tuning für kritische Anwendungen mit realem Traffic aus. Tune WAF in detection/prevention mode for critical apps using real traffic patterns.
Kombiniere DDoS Alerts mit Application Insights, Front Door- oder Gateway-Logs. Correlate DDoS alerts with Application Insights and Front Door or gateway logs.
Schütze Verwaltungs- und Backend-Endpunkte getrennt von Public-Frontend-Regeln. Protect management and backend endpoints separately from public front-end rules.
Bot Protection ist besonders relevant für Login-, Search- und Commerce-Endpunkte. Bot protection is especially relevant for login, search, and commerce endpoints.

Azure CLI


az network application-gateway waf-policy create \
  --name agw-waf-core \
  --resource-group rg-edge \
  --type OWASP \
  --version 3.2

az network application-gateway waf-policy custom-rule create \
  --policy-name agw-waf-core \
  --resource-group rg-edge \
  --name BlockLegacyAdminPath \
  --priority 10 \
  --rule-type MatchRule \
  --action Block

PowerShell


$plan = New-AzDdosProtectionPlan `
  -Name "ddos-core" `
  -ResourceGroupName "rg-network" `
  -Location "westeurope"

Set-AzVirtualNetwork `
  -VirtualNetwork (Get-AzVirtualNetwork -Name "vnet-hub" -ResourceGroupName "rg-network") `
  -DdosProtectionPlanId $plan.Id `
  -EnableDdosProtection

Bicep


resource frontDoorWaf 'Microsoft.Network/frontdoorwebapplicationfirewallpolicies@2024-02-01' = {
  name: 'fd-waf-core'
  location: 'global'
  sku: {
    name: 'Premium_AzureFrontDoor'
  }
  properties: {
    policySettings: {
      enabledState: 'Enabled'
      mode: 'Prevention'
    }
    managedRules: {
      managedRuleSets: [
        {
          ruleSetType: 'Microsoft_DefaultRuleSet'
          ruleSetVersion: '2.1'
        }
      ]
    }
  }
}

Azure Confidential Computing Azure Confidential Computing

Azure Confidential Computing zielt auf Workloads, bei denen Daten während der Verarbeitung zusätzlich geschützt werden müssen. Dabei wird Arbeitsspeicher hardwaregestützt isoliert, sodass selbst privilegierte Betreiberpfade den Klartext nur eingeschränkt oder gar nicht einsehen können. Azure Confidential Computing targets workloads where data must remain protected even during processing. Memory is isolated with hardware support so that even highly privileged operator paths have limited or no access to plaintext.

In der Praxis sind Confidential VMs und verwandte Dienste besonders relevant für regulierte Analytik, Multi-Party-Szenarien, besonders sensible Schlüsselmaterialien und verteilte Rechenmodelle, bei denen Nachweise über die gemessene Ausführungsumgebung nötig sind. In practice, confidential VMs and related services are especially relevant for regulated analytics, multi-party scenarios, highly sensitive key material, and distributed compute models that require evidence of the measured execution environment.

AMD SEV-SNP und Intel TDX adressieren beide Speicherisolation und Integrität für virtuelle Maschinen, während Azure Attestation als Vertrauensanker für Remote Attestation dient. Entscheidend sind dabei unterstützte VM-Familien, Images, Treiber und die Integrationsfähigkeit der Anwendung. AMD SEV-SNP and Intel TDX both address memory isolation and integrity for virtual machines, while Azure Attestation acts as the trust anchor for remote attestation. Supported VM families, images, drivers, and the application integration model remain decisive.

Baustein Building block	Fokus Focus	Einsatz Use case	Grenze / Hinweis Constraint / note
Confidential VM mit SEV-SNP Confidential VM with SEV-SNP	AMD-basierte Speicher- und Integritätsschutzfunktionen AMD-based memory and integrity protections	Sensible Linux/Windows-Workloads Sensitive Linux/Windows workloads	Nur unterstützte Größen und Images Supported sizes and images only
Confidential VM mit TDX Confidential VM with TDX	Intel-basierte VM-Isolation Intel-based VM isolation	Workloads mit Intel-gebundenen Anforderungen Workloads with Intel-bound requirements	Verfügbarkeit ist regions- und SKU-abhängig Availability depends on region and SKU
Azure Attestation Azure Attestation	Remote Attestation und Vertrauensnachweis Remote attestation and trust proof	Verifizierung der Ausführungsumgebung Verification of the execution environment	Applikation muss Attestation auswerten können Application must evaluate attestation results
Confidential Containers / enclaves-nahe Muster Confidential containers / enclave-adjacent patterns	Isolierte Verarbeitung bestimmter Workloads Isolated processing for selected workloads	Kubernetes- oder Container-Szenarien Kubernetes or container scenarios	Tooling und Treibermodell früh prüfen Validate tooling and driver model early
Schlüssel und Datenpfad Keys and data path	Zusammenspiel mit Key Vault, Managed HSM, Private Link Combined use with Key Vault, Managed HSM, Private Link	End-to-end Schutzarchitektur End-to-end protection architecture	Confidential Computing ersetzt keine Gesamtarchitektur Confidential computing does not replace overall architecture

Prüfe vorab, ob Gastbetriebssystem, Kernel und Agenten für vertrauliche VM-Typen freigegeben sind. Verify early whether the guest OS, kernel, and agents are supported for confidential VM types.
Attestation ist nur wertvoll, wenn abhängige Systeme ihre Ergebnisse auch erzwingen oder auswerten. Attestation is only valuable if dependent systems actually enforce or evaluate the results.
Plane Image-Härtung, Schlüsselzugriff und Netzwerkpfade gemeinsam mit dem Confidential-Design. Plan image hardening, key access, and network paths together with the confidential design.
Nicht jede Performance- oder Treiberanforderung ist mit jedem Confidential-SKU kompatibel. Not every performance or driver requirement is compatible with every confidential SKU.

Azure CLI


az vm create \
  --name cvm-app-01 \
  --resource-group rg-confidential \
  --image Ubuntu2204 \
  --size Standard_DC2as_v5 \
  --security-type ConfidentialVM \
  --enable-vtpm true \
  --enable-secure-boot true

Bicep


resource cvm 'Microsoft.Compute/virtualMachines@2024-03-01' = {
  name: 'cvm-app-01'
  location: resourceGroup().location
  properties: {
    securityProfile: {
      securityType: 'ConfidentialVM'
      uefiSettings: {
        secureBootEnabled: true
        vTpmEnabled: true
      }
    }
    hardwareProfile: {
      vmSize: 'Standard_DC2as_v5'
    }
    storageProfile: {
      imageReference: {
        publisher: 'Canonical'
        offer: '0001-com-ubuntu-server-jammy'
        sku: '22_04-lts'
        version: 'latest'
      }
    }
  }
}

Azure Private Link und DNS-Design Azure Private Link and DNS design

Private Link verschiebt den Datenpfad vieler Azure-Plattformdienste von einem öffentlichen Endpunkt auf eine private IP in deinem VNet. Authentifizierung, Dienst-FQDN und viele SDKs bleiben gleich, aber DNS muss die Auflösung gezielt auf die private Adresse umlenken. Private Link shifts the data path for many Azure platform services from a public endpoint to a private IP in your VNet. Authentication, service FQDNs, and most SDKs remain the same, but DNS must deliberately resolve those names to the private address.

Das häufigste Architekturproblem ist nicht der Private Endpoint selbst, sondern das DNS-Muster über Hub/Spoke, On-Premises, Resolver und mehrere gleichartige Endpunkte hinweg. Private DNS Zones, Azure Private Resolver und Forwarding-Regeln sollten früh designt werden. The most common architecture problem is not the private endpoint itself but the DNS model across hub/spoke, on-premises, resolvers, and multiple like-for-like endpoints. Private DNS zones, Azure Private Resolver, and forwarding rules should be designed early.

Einige Plattformdienste benötigen mehrere Private-DNS-Zonen oder Subressourcen, zum Beispiel Storage, Azure Monitor oder Web Apps mit SCM-Endpunkt. Deshalb gehört die DNS-Dokumentation immer direkt ins IaC-Modul des jeweiligen Dienstes. Some platform services need multiple private DNS zones or subresources, such as Storage, Azure Monitor, or Web Apps with an SCM endpoint. DNS documentation should therefore live directly in the IaC module for each service.

Die folgende Übersicht gruppiert die kommerziell unterstützten Private-Link-Dienste nach Domäne und deckt die typischen Daten- oder Kontrollpfade ab, die in Enterprise-Landing-Zones relevant sind. The following overview groups commercially supported Private Link services by domain and covers the typical data or control paths that matter in enterprise landing zones.

⚠️ Eine Private DNS Zone sollte nicht zwei verschiedene gleichartige Dienste ungeplant bedienen ⚠️ One private DNS zone should not accidentally serve two different like-for-like services

Microsoft empfiehlt pro gleichartigem Dienst und Private-Endpoint-Muster eine saubere Zonenzuordnung, damit A-Records nicht überschrieben werden. Besondere Vorsicht gilt bei Storage, Web Apps und mehreren Endpunkten desselben Typs. Microsoft recommends a clean zone mapping per like service and private-endpoint pattern so A records do not overwrite each other. Take special care with Storage, Web Apps, and multiple endpoints of the same type.

Kategorie Category	Unterstützte Dienste (Auszug je Ressourcentyp) Supported services (resource-type view)	Typische private DNS-Zonen Typical private DNS zones
AI + Machine Learning AI + Machine Learning	Azure Machine Learning workspace, Azure Machine Learning registry, Foundry Tools / Azure AI account, Azure Bot Service Azure Machine Learning workspace, Azure Machine Learning registry, Foundry Tools / Azure AI account, Azure Bot Service	privatelink.api.azureml.ms, privatelink.cognitiveservices.azure.com, privatelink.openai.azure.com, privatelink.directline.botframework.com privatelink.api.azureml.ms, privatelink.cognitiveservices.azure.com, privatelink.openai.azure.com, privatelink.directline.botframework.com
Analytics Analytics	Synapse SQL/Studio, Event Hubs, Service Bus, Data Factory, HDInsight, Data Explorer, Power BI, Databricks, Fabric workspace Synapse SQL/Studio, Event Hubs, Service Bus, Data Factory, HDInsight, Data Explorer, Power BI, Databricks, Fabric workspace	privatelink.sql.azuresynapse.net, privatelink.servicebus.windows.net, privatelink.datafactory.azure.net, privatelink.azuredatabricks.net, privatelink.fabric.microsoft.com privatelink.sql.azuresynapse.net, privatelink.servicebus.windows.net, privatelink.datafactory.azure.net, privatelink.azuredatabricks.net, privatelink.fabric.microsoft.com
Compute Compute	Azure Batch, Azure Virtual Desktop workspace/feed/connection Azure Batch, Azure Virtual Desktop workspace/feed/connection	privatelink.batch.azure.com, privatelink.wvd.microsoft.com, privatelink-global.wvd.microsoft.com privatelink.batch.azure.com, privatelink.wvd.microsoft.com, privatelink-global.wvd.microsoft.com
Containers Containers	AKS Kubernetes API, Azure Container Apps, Azure Container Registry AKS Kubernetes API, Azure Container Apps, Azure Container Registry	privatelink.<region>.azmk8s.io, privatelink.<region>.azurecontainerapps.io, privatelink.azurecr.io privatelink.<region>.azmk8s.io, privatelink.<region>.azurecontainerapps.io, privatelink.azurecr.io
Databases Databases	Azure SQL Database, Azure SQL Managed Instance, Cosmos DB (SQL/Mongo/Cassandra/Gremlin/Table/Analytical), PostgreSQL, MySQL, MariaDB, Azure Cache for Redis, Managed Redis Azure SQL Database, Azure SQL Managed Instance, Cosmos DB (SQL/Mongo/Cassandra/Gremlin/Table/Analytical), PostgreSQL, MySQL, MariaDB, Azure Cache for Redis, Managed Redis	privatelink.database.windows.net, privatelink.documents.azure.com, privatelink.postgres.database.azure.com, privatelink.mysql.database.azure.com, privatelink.redis.cache.windows.net privatelink.database.windows.net, privatelink.documents.azure.com, privatelink.postgres.database.azure.com, privatelink.mysql.database.azure.com, privatelink.redis.cache.windows.net
Hybrid + Multicloud Hybrid + Multicloud	Azure Arc private link scope Azure Arc private link scope	privatelink.his.arc.azure.com, privatelink.guestconfiguration.azure.com privatelink.his.arc.azure.com, privatelink.guestconfiguration.azure.com
Integration Integration	Event Grid topics/domains/namespaces, API Management gateway, Health Data Services Event Grid topics/domains/namespaces, API Management gateway, Health Data Services	privatelink.eventgrid.azure.net, privatelink.azure-api.net, privatelink.azurehealthcareapis.com privatelink.eventgrid.azure.net, privatelink.azure-api.net, privatelink.azurehealthcareapis.com
Internet of Things Internet of Things	IoT Hub, Device Provisioning Service, Device Update, IoT Central, Digital Twins IoT Hub, Device Provisioning Service, Device Update, IoT Central, Digital Twins	privatelink.azure-devices.net, privatelink.azure-devices-provisioning.net, privatelink.digitaltwins.azure.net privatelink.azure-devices.net, privatelink.azure-devices-provisioning.net, privatelink.digitaltwins.azure.net
Media Media	Azure Media Services, Azure AI Video Indexer Azure Media Services, Azure AI Video Indexer	privatelink.media.azure.net, privatelink.api.videoindexer.ai privatelink.media.azure.net, privatelink.api.videoindexer.ai
Management and Governance Management and Governance	Automation, Backup, Site Recovery, Azure Monitor private link scope, Purview, Azure Migrate, ARM, Managed Grafana, Managed Prometheus Automation, Backup, Site Recovery, Azure Monitor private link scope, Purview, Azure Migrate, ARM, Managed Grafana, Managed Prometheus	privatelink.azure-automation.net, privatelink.monitor.azure.com, privatelink.purview.azure.com, privatelink.azure.com, privatelink.grafana.azure.com privatelink.azure-automation.net, privatelink.monitor.azure.com, privatelink.purview.azure.com, privatelink.azure.com, privatelink.grafana.azure.com
Security Security	Key Vault vault, Managed HSM, App Configuration, Azure Attestation Key Vault vault, Managed HSM, App Configuration, Azure Attestation	privatelink.vaultcore.azure.net, privatelink.managedhsm.azure.net, privatelink.azconfig.io, privatelink.attest.azure.net privatelink.vaultcore.azure.net, privatelink.managedhsm.azure.net, privatelink.azconfig.io, privatelink.attest.azure.net
Storage Storage	Storage blob/table/queue/file/web, Data Lake Gen2 dfs, Azure File Sync, Managed Disks via disk access, Elastic SAN, Azure Files Storage blob/table/queue/file/web, Data Lake Gen2 dfs, Azure File Sync, Managed Disks via disk access, Elastic SAN, Azure Files	privatelink.blob.core.windows.net, privatelink.file.core.windows.net, privatelink.dfs.core.windows.net, privatelink.afs.azure.net privatelink.blob.core.windows.net, privatelink.file.core.windows.net, privatelink.dfs.core.windows.net, privatelink.afs.azure.net
Web Web	Azure Search, Relay, Web Apps / Function Apps incl. SCM, SignalR, Static Web Apps, Maps, Web PubSub Azure Search, Relay, Web Apps / Function Apps incl. SCM, SignalR, Static Web Apps, Maps, Web PubSub	privatelink.search.windows.net, privatelink.azurewebsites.net, scm.privatelink.azurewebsites.net, privatelink.service.signalr.net privatelink.search.windows.net, privatelink.azurewebsites.net, scm.privatelink.azurewebsites.net, privatelink.service.signalr.net

DNS-Entwurfspunkt DNS design point	Empfehlung Recommendation	Warum relevant Why it matters
Private DNS Zone pro Dienstmuster Private DNS zone per service pattern	Für gleichartige Endpunkte saubere Zonenzuordnung vorsehen Create clean zone mapping for like endpoints	Verhindert unerwartete Record-Überschreibung Prevents unexpected record overwrite
Hub/Spoke-Auflösung Hub/spoke resolution	Zone Links oder Resolver-Regeln zentralisieren Centralize zone links or resolver rules	Vermeidet abweichendes Verhalten zwischen Spokes Avoids inconsistent behavior between spokes
Hybrid DNS Hybrid DNS	On-Prem Resolver auf Azure Private Resolver oder bedienende DNS-Server forwarden Forward on-prem resolvers to Azure Private Resolver or authoritative DNS servers	Sichert konsistente Namensauflösung außerhalb von Azure Ensures consistent name resolution outside Azure
Mehrere Subressourcen Multiple subresources	Storage, Monitor oder Web Apps benötigen oft mehrere Zoneneinträge Storage, Monitor, or Web Apps often need multiple zone entries	Sonst funktionieren Teilfunktionen nicht zuverlässig Otherwise partial functions fail
Public Fallback Public fallback	Für gemischte Public/Private-Szenarien Forwarding bewusst planen Deliberately plan forwarding in mixed public/private scenarios	Verhindert NXDOMAIN oder falsche Auflösung Prevents NXDOMAIN or wrong resolution

Private Link schützt den Datenpfad; NSGs, RBAC und Dienst-Firewalls bleiben zusätzlich relevant. Private Link protects the data path; NSGs, RBAC, and service firewalls remain important.
Storage-Clients und SMB-Szenarien erfordern oft Tests für Namensauflösung, Mount-Verhalten und Failover. Storage clients and SMB scenarios often require testing for name resolution, mount behavior, and failover.
Dokumentiere pro Dienst FQDN, Subresource, DNS-Zone, Resolver-Weg und Freigabepfade. Document FQDN, subresource, DNS zone, resolver path, and approval flow per service.
Überlappende Public- und Private-Endpunkt-Nutzung ohne Forwarding-Konzept führt schnell zu Supportfällen. Overlapping public and private endpoint usage without a forwarding concept quickly leads to support cases.
Verifiziere DNS immer mit Test-VMs in jedem relevanten Netzsegment. Always validate DNS with test VMs in every relevant network segment.

Azure CLI


az network private-endpoint create \
  --name pe-kv-sec-core-001 \
  --resource-group rg-network \
  --vnet-name vnet-hub \
  --subnet snet-private-endpoints \
  --private-connection-resource-id $(az keyvault show --name kv-sec-core-001 --query id -o tsv) \
  --group-id vault \
  --connection-name kv-connection

az network private-dns zone create \
  --resource-group rg-network \
  --name privatelink.vaultcore.azure.net

PowerShell


$zone = New-AzPrivateDnsZone -Name "privatelink.vaultcore.azure.net" -ResourceGroupName "rg-network"
$link = New-AzPrivateDnsVirtualNetworkLink `
  -ZoneName $zone.Name `
  -ResourceGroupName "rg-network" `
  -Name "hub-link" `
  -VirtualNetworkId (Get-AzVirtualNetwork -Name "vnet-hub" -ResourceGroupName "rg-network").Id

Get-AzPrivateEndpoint -Name "pe-kv-sec-core-001" -ResourceGroupName "rg-network"

Bicep


resource privateDnsZone 'Microsoft.Network/privateDnsZones@2020-06-01' = {
  name: 'privatelink.vaultcore.azure.net'
  location: 'global'
}

resource zoneGroup 'Microsoft.Network/privateEndpoints/privateDnsZoneGroups@2023-09-01' = {
  name: 'default'
  parent: privateEndpoint
  properties: {
    privateDnsZoneConfigs: [
      {
        name: 'vault-zone'
        properties: {
          privateDnsZoneId: privateDnsZone.id
        }
      }
    ]
  }
}

Microsoft Defender for IoT Microsoft Defender for IoT

Defender for IoT adressiert industrielle OT- und Enterprise-IoT-Szenarien, in denen Geräte, Protokolle und Netzsegmente häufig nicht nach klassischen IT-Mustern verwaltet werden. Schwerpunkt sind Asset Discovery, Protokollverständnis, Bedrohungsanalyse und Sicherheitsmonitoring. Defender for IoT addresses industrial OT and enterprise IoT scenarios where devices, protocols, and network segments are often not managed like traditional IT. The focus is asset discovery, protocol awareness, threat analysis, and security monitoring.

Für OT-Umgebungen kommen häufig passive Sensoren oder spiegelnde Netzpfade zum Einsatz, um Produktionsnetze nicht zu stören. Daraus entstehen Architekturfragen zu Port Mirroring, Netzwerkzugang, Appliance-Lebenszyklus und Integration in SOC-Workflows. For OT environments, passive sensors or mirrored network paths are common so production networks are not disrupted. This creates architecture questions around port mirroring, network access, appliance lifecycle, and SOC integration.

Defender for IoT ist besonders wertvoll, wenn industrielle Assets in dasselbe Risikobild wie Cloud- und Endpoint-Signale eingeordnet werden. Der Mehrwert steigt also mit sauberem Asset-Owner-Modell, Incident-Routing und klaren Playbooks. Defender for IoT is most valuable when industrial assets are brought into the same risk picture as cloud and endpoint signals. Value increases with a clear asset-owner model, incident routing, and well-defined playbooks.

Bereich Area	Fähigkeit Capability	Nutzen Benefit
Asset Discovery Asset Discovery	Erkennung von Geräten, Protokollen und Kommunikationspfaden Discovery of devices, protocols, and communication paths	Sichtbarkeit in heterogenen OT-/IoT-Netzen Visibility across heterogeneous OT/IoT networks
Vulnerability Context Vulnerability Context	Zuordnung bekannter Schwachstellen zu Geräten und Softwareständen Mapping of known vulnerabilities to devices and software versions	Priorisierung für kompensierende Maßnahmen Prioritization for compensating controls
Behavior Analytics Behavior Analytics	Anomalien in industriellen Kommunikationsmustern Anomalies in industrial communication patterns	Frühe Erkennung lateral bewegter oder missbräuchlicher Aktivitäten Early detection of lateral or abusive activity
Sensor Deployment Sensor Deployment	Passive Sensoren oder Appliance-Muster Passive sensors or appliance patterns	Geringe Störung produktiver Netzwerke Minimal disruption to production networks
SOC Integration SOC Integration	Alarmweiterleitung und Kontextanreicherung Alert forwarding and context enrichment	Schnelleres Incident Handling Faster incident handling

OT-Netzwerke bevorzugen passive Beobachtung statt aktiver Scanner. OT networks usually prefer passive observation instead of active scanners.
Asset-Inventar und Verantwortlichkeiten sind Voraussetzung für wirksame Reaktion. Asset inventory and ownership are prerequisites for effective response.
Berücksichtige Wartungsfenster und Safety-Prozesse in jeder Security-Änderung. Respect maintenance windows and safety processes in every security change.
Integriere OT-Alarme in dasselbe Incident-Triage-Modell wie Cloud- und Endpoint-Alarme. Integrate OT alerts into the same incident triage model as cloud and endpoint alerts.

Preismodelle, typische Kostentreiber und wichtige Grenzen Pricing models, typical cost drivers, and important limits

Sicherheitsdienste in Azure werden meist nach geschützten Ressourcen, aktivierten Schutzplänen, Transaktionen, analysiertem Datenvolumen oder Netzexposition abgerechnet. Eine gute Referenzarchitektur dokumentiert deshalb nicht nur den Zielzustand, sondern auch die auslösenden Kostentreiber. Azure security services are usually billed by protected resources, enabled protection plans, transaction volume, analyzed data volume, or network exposure. A good reference architecture therefore documents not only the target state but also the cost drivers.

Grenzen und Quoten ändern sich nach Region und SKU. Für Produktionsentscheidungen sollten stets die aktuellen Microsoft-Dokumente geprüft werden. Die folgende Tabelle fasst typische, planungsrelevante Muster zusammen, ohne tagesaktuelle Listenpreise vorwegzunehmen. Limits and quotas change by region and SKU. Production decisions should always validate the current Microsoft documentation. The following table summarizes planning-relevant patterns without hardcoding day-specific list prices.

Dienst Service	Preismodell Pricing model	Wichtige Kostentreiber Key cost drivers	Planungshinweis Planning note
Key Vault Key Vault	Transaktionen, Schlüsseltypen, HSM-Nutzung Transactions, key types, HSM usage	Secret/Key-Operationen, Zertifikatserneuerung, Managed HSM Secret/key operations, certificate renewals, Managed HSM	Chatty Apps und übermäßige Polling-Muster verteuern den Betrieb Chatty apps and excessive polling raise cost
Defender for Cloud Defender for Cloud	Pro Ressourcentyp / Plan Per resource type / plan	Aktivierte Defender-Pläne, Server/Cluster/Storage/DB-Bestand Enabled defender plans and server/cluster/storage/DB estate	Nur relevante Pläne tenantweit standardisieren Standardize only relevant plans tenant-wide
Azure Policy Azure Policy	Kein separates Produktpreismodell, aber Folgekosten durch Deployments/Logs No separate product fee, but downstream cost through deployments/logs	deployIfNotExists, Diagnose-Daten, Remediation-Jobs deployIfNotExists, diagnostic data, remediation jobs	Policy kann indirekt Monitoring- und Infrastrukturkosten erhöhen Policy can indirectly increase monitoring and infrastructure cost
WAF WAF	Gateway/Front Door SKU plus Request-Verarbeitung Gateway/Front Door SKU plus request processing	Traffic, Rule Evaluation, Bot Protection, global footprint Traffic, rule evaluation, bot protection, global footprint	Falsch positionierte WAFs können doppelte Edge-Kosten erzeugen Bad placement can create duplicate edge cost
DDoS Protection DDoS Protection	Schutzplan bzw. geschützte Exposition Protection plan or protected exposure	Anzahl geschützter VNets oder Public IPs je Tier Number of protected VNets or public IPs by tier	Vor allem für geschäftskritische Internetflächen wirtschaftlich betrachten Evaluate primarily for business-critical internet surfaces
Private Link Private Link	Private Endpoint plus Datenverarbeitung und DNS-Bausteine Private endpoint plus data processing and DNS components	Anzahl Endpunkte, Resolver, zonenübergreifende Topologie Endpoint count, resolvers, cross-zone topology	Viele kleine Endpunkte über viele Spokes summieren sich schnell Many small endpoints across many spokes add up quickly
Confidential Computing Confidential Computing	Spezielle VM-SKUs / Dienste Specialized VM SKUs / services	Confidential VM-Größen, Attestation, unterstützte Images Confidential VM sizes, attestation, supported images	Mehr Sicherheit bedeutet oft höhere Compute-Kosten More security often means higher compute cost
Defender for IoT Defender for IoT	Lizenzierung nach Umgebung / Sensorik / Integration Licensing by environment / sensors / integration	Sensoranzahl, Netzabdeckung, SOC-Anbindung Sensor count, network coverage, SOC integration	OT-Sichtbarkeit braucht meist zusätzliches Betriebsbudget OT visibility usually needs extra operating budget

Grenze / Einschränkung Limit / constraint	Planungsrelevanz Why it matters
Key Vault Soft Delete Retention: 7 bis 90 Tage Key Vault soft delete retention: 7 to 90 days	Beeinflusst Wiederherstellung, Offboarding und Nachweisführung. Impacts recovery, offboarding, and evidence handling.
Managed HSM und Confidential Computing sind SKU-/Regions-abhängig Managed HSM and confidential computing are SKU and region dependent	Landing-Zone-Design muss Verfügbarkeit und Disaster-Recovery früh abgleichen. Landing zone design must validate availability and disaster recovery early.
deployIfNotExists und modify benötigen oft verwaltete Identitäten und Rollen deployIfNotExists and modify often need managed identities and roles	Fehlende Rechte führen zu scheinbar funktionierenden, aber unwirksamen Policies. Missing rights create policies that appear valid but do nothing.
Private-Link-DNS ist service- und subresource-spezifisch Private Link DNS is service and subresource specific	Ein generisches DNS-Modell ohne Tabellen pro Dienst ist selten stabil. A generic DNS model without per-service tables is rarely stable.
WAF-Tuning ist anwendungsspezifisch WAF tuning is application specific	Managed Rules alleine liefern selten eine perfekte Produktionskonfiguration. Managed rules alone rarely produce a perfect production configuration.
Defender-Funktionen unterscheiden sich je Plan und Ressourcentyp Defender capabilities differ by plan and resource type	Nicht jede Empfehlung ist in jeder Subscription oder jedem Cloud-Typ verfügbar. Not every recommendation is available in every subscription or cloud type.

Plane Sicherheitskosten als Teil der Landing-Zone-FinOps und nicht erst nach dem Go-live. Plan security cost as part of landing-zone FinOps, not only after go-live.
Bewerte Traffic-Muster, Anzahl Endpunkte und Protokollvolumen pro Umgebung. Evaluate traffic patterns, endpoint count, and log volume per environment.
Nutze Pilot-Subscriptions, um Policy-, Defender- und WAF-Tuning vor dem Rollout zu validieren. Use pilot subscriptions to validate policy, defender, and WAF tuning before rollout.

Empfohlenes Umsetzungsmodell Recommended implementation model

Ein pragmatischer Einführungsplan startet mit Identität, Logging und Governance, erweitert dann auf Private Link und Key Management und aktiviert anschließend workload-spezifische Schutzpläne und Spezialfunktionen wie Confidential Computing oder Defender for IoT nur dort, wo die Anforderungen es rechtfertigen. A pragmatic rollout plan starts with identity, logging, and governance, then extends to private access and key management, and finally enables workload-specific protection plans and specialized capabilities such as confidential computing or Defender for IoT only where justified.

Phase 1: Management Groups, RBAC-Modell, Diagnose-Standards, zentrale Workspaces. Phase 1: management groups, RBAC model, diagnostic standards, central workspaces.
Phase 2: Key Vault/Managed HSM, Private Link Muster, DNS-Resolver, Policy Baselines. Phase 2: Key Vault/Managed HSM, Private Link patterns, DNS resolvers, policy baselines.
Phase 3: Defender-Pläne für priorisierte Workloads, WAF-/DDoS-Abdeckung, SOC-Integration. Phase 3: Defender plans for prioritized workloads, WAF/DDoS coverage, SOC integration.
Phase 4: Confidential Workloads, OT/IoT-Sichtbarkeit, automatisierte Remediation und Attack-Path-gesteuerte Priorisierung. Phase 4: confidential workloads, OT/IoT visibility, automated remediation, and attack-path-driven prioritization.