| Microsoft Azure | |
|---|---|
 | |
| Basisdaten | |
| Entwickler | Microsoft |
| Erscheinungsjahr | 1. Februar 2010 |
| Betriebssystem | Microsoft Windows,Linux,Android,iOS |
| Kategorie | Cloud-Computing |
| azure.microsoft.com | |
Microsoft Azure (kurz:Azure,Aussprache [ˈæʒər]) (vormals: Windows Azure) ist eineCloud-Computing-Plattform vonMicrosoft mit Diensten wieSQL Azure oderAppFabric, die sich in erster Linie anSoftwareentwickler richtet. Azure wurde im Oktober 2008 angekündigt, gestartet mit dem Codenamen „Project Red Dog“,[1] seit dem 1. Februar 2010 ist die Plattform offiziell verfügbar.[2]
Die Nutzer von Microsoft Azure setzenInfrastructure as a Service (IaaS),Platform as a Service (PaaS) undSoftware as a Service (SaaS) ein.
Microsoft wurde wegen seiner fahrlässigenCybersicherheitspraktiken scharf kritisiert.[3]
Anbieter desCloud Computings stellen Anwendungen und Datenbanken zur Verfügung, die netzbasiert genutzt werden können. Auch die eigenen Dateien des Anwenders liegen nicht mehr auf dem eigenen Computer, sondern auf denServern des Providers. Microsoft möchte sich wesentlich stärker auf internetbasierte Dienste konzentrieren und hofft, so dem Käufertrend zu billigeren und leistungsschwächeren Rechnern wieNetbooks begegnen zu können. Ein für den Hersteller interessanter Nebeneffekt wäre, dass das Problem derRaubkopien stark eingedämmt würde, da keine Software an die Endanwender mehr vertrieben werden muss. Das Angebot soll eine wesentliche Kursänderung bei Microsoft markieren. Es konkurriert dabei gegen vergleichbare Angebote wieGoogle App Engine oder dieElastic Compute Cloud vonAmazon.[4]
Microsoft Azure stellt dabei den großen Teil einer neu entwickelten Plattform, derMicrosoft Azure Platform, dar. Diese Plattform bietet den Anwendern neue Dienste, so beispielsweise eineDatenbank und eine neue Version des.NET Frameworks. Darüber hinaus werden Dienste zur Synchronisation von Daten angeboten, die auf dem System derMicrosoft Windows SharePoint Services basieren.[5]
Azure ist im März 2020 in 140 Ländern aufgeteilt in 58 Regionen vertreten. Ein Standort repräsentiert die Stadt oder das Gebiet der Azure Region. Jede Region ist mit einer anderen Region innerhalb derselben Geographie gepaart; dies macht sie zu einem regionalen Paar. Zum Beispiel sind Amsterdam und Dublin Orte, die ein regionales Paar bilden. Diese Paarung von Regionen ermöglicht eine zusätzlicheAusfallsicherheit, indem bei Problemen in einer Region automatisch die Partnerregion übernimmt (spezielle Funktion einiger Azure Dienste und mit zusätzlichen Kosten verbunden).[6]
Microsoft ist mit Azure der erste Anbieter von Cloud-Diensten, der sich verpflichtet hat, Einrichtungen auf dem afrikanischen Kontinent zu bauen, wobei sich zwei Regionen in Südafrika befinden.[7]
Im Rahmen einer Daten-Treuhand-Konstruktion wird für Deutschland eine spezielle Cloud-Lösung angeboten, die dem stärkeren Bedürfnis nachDatenschutz in Deutschland genügen soll. Ein deutscherDatentreuhänder, hier dieT-Systems, kontrolliert dabei den Zugriff auf die Kundendaten. Im November 2015 hat Microsoft angekündigt, hierfür zwei Rechenzentren in Deutschland zu installieren. Standorte sindFrankfurt am Main undMagdeburg.[8] Damit werden Kundendaten nicht in Rechenzentren außerhalb Deutschlands verteilt. Die deutschenRechenzentren sind dabei Teil einer globalen Cloud-Infrastruktur, die 54 Regionen in über 140 Ländern umfasst.[9] Am 31. August 2018 gab Microsoft bekannt, dass dieMicrosoft-Cloud Deutschland nicht mehr für Neukunden zur Verfügung steht und keine neuen Dienste mehr bereitgestellt werden.[10]
Seit Ende 2019 sind zwei neue Rechenzentren in Berlin und Frankfurt (Hattersheim) verfügbar, auf denen Azure, Office365 und künftig auch Dynamics365 verfügbar sind.[11]
2021 wurde bekannt, dass Microsoft mit Regierungen in Europa an einem speziellen Angebot arbeitet, um eine Migration in die eigene Cloud attraktiver zu machen. Bisher setzen deutsche Behörden zwar auf Microsoft-Software, dieproprietär ist und daher Risiken bietet. Da sie in eigenen Rechenzentren läuft, sind die Gefahren für Sicherheit und Datenschutz jedoch im Vergleich zu Cloud-Diensten geringer, zumal die USA direkt und indirekt nachweisbar deutsche Politiker wie Angela Merkel überwacht haben. Handelsembargos der USA gegen etwaHuawei zeigen zudem weitere politische Gefahren. Die Bundesregierung sieht daher die digitale Souveränität in Gefahr und plante, quelloffene Alternativen zu prüfen. Daraufhin kündigte Microsoft an, mit lokalen Dienstleistern zusammenzuarbeiten, um trotzdem gemeinsam Dienste in der Cloud anbieten zu können.[12] Im Folgejahr erschien die Ankündigung, dass diese Cloud 2024 starten soll. Einige Kritikpunkte wie etwa die hohe Abhängigkeit von einem einzelnen Konzern bleiben bestehen.[13]
Seit 2019 unterhält Microsoft zwei Rechenzentren in den Kantonen Genf und Zürich für Microsoft Azure.[14] Im März 2023 kündigte Microsoft einen Ausbau der Schweizer Rechenzentren an.[15]
Microsoft nennt Finanz- und Gesundheitssektor, den öffentlichen Sektor sowie Nichtregierungsorganisationen als primäre Zielgruppen für die Schweizer Rechenzentrum-Standorte.[16] Der Aufbau der Rechenzentren wurde durch einen großenAnkermieter initiiert.[17] Die Schweizer GroßbankUBS hat angekündigt, dass sie mittelfristig ein Drittel ihrer Daten in Zusammenarbeit mit Microsoft in die Cloud auslagern möchte.[18]Swisscom ist einVertriebspartner von Azure.[19]
Microsoft Azure ist unterteilt inCompute,Storage,Virtual Network,CDN undMarketplace.
Durch dieVM Role ermöglicht Microsoft, eigene Windows Server Images in seinen Rechenzentren und damit bisherigeOn-Premises-Lösungen in der Cloud laufen zu lassen. Allerdings ist man hier auf dieses eineBetriebssystem festgelegt. DieWeb Role ermöglicht es, Anwendungen in einer Vielzahl von Programmiersprachen (.NET (C# and Visual Basic), C++, PHP, Ruby, Python, Java[21])bereitzustellen. Die Microsoft Azure Plattform ist insbesondere abgestimmt auf das.Net-Framework undVisual Studio.[20] Es gibt eineEclipse-Integration, die sich aber nur unter Windows nutzen lässt.[22]
Microsoft bietet außerdem seine Infrastruktur auch alsAppliance an, um sich eine private Azure-Cloud im eigenen Rechenzentrum aufzubauen.[23]
Azure unterstützt die meisten Programmiersprachen und hat ein Rollensystem. Um allerdings eineJava-Webanwendung zu deployen, kann man nicht einfach eineWAR-Datei hochladen, sondern muss die eigene Anwendung inklusive Java-Laufzeitumgebung undTomcat-Application-Server in eineWorker Role verpacken und deployen.[24]
Ray Ozzie hat auf derProfessional Developers Conference 2008 inLos Angeles zum ersten Mal Windows Azure offiziell angekündigt und stellte den Teilnehmern der Konferenz den Zugang zu einemCommunity Technology Preview zur Verfügung. Zuvor war es vonSteve Ballmer alsWindows Cloud angekündigt worden.[5]
Die Plattform steht seit dem 1. Februar 2010 offiziell zur Verfügung. AndereSoftware-Hersteller sind damit in der Lage, ihre Software über die Plattform alsSaaS-Dienst anzubieten.[25]
Die Funktionalität der Azure-Plattform wurde von Microsoft seit ihrer Erstvorstellung im Herbst 2008 stufenweise ausgebaut. Die nachfolgende Übersicht informiert über wesentliche Erweiterungen der Plattform sowie wichtige Bekanntmachungen zu Microsoft Azure. Dabei änderte sich stetig die Anwendbarkeit der Cloud. Dabei gab es Probleme, sich selbst nicht in Konkurrenz zum eigenen Werken zu stehen.
| Zeitpunkt | Erweiterungen |
|---|---|
| Oktober 2008 |
|
| März 2009 |
|
| November 2009 |
|
| Juni 2010 |
|
| November 2010 |
|
| April 2014 |
|
| Juli 2014 |
|
| September 2015 |
|
| Dezember 2015 |
|
| März 2016 |
|
| September 2017 |
|
| Juli 2018 |
|
| September 2018 |
|
| April 2019 |
|
Azure stellt eine große Anzahl von Diensten bereit, welche auf der Azure-Webseite aufgelistet und beschrieben werden.[35] Zudem existiert ein Marktplatz, über den Dienste von Drittanbietern bereitgestellt und genutzt werden können.[36] Die Dienste können sowohl über ein Portal als auch überPowerShell-Skripte eingerichtet und verwaltet werden.
Microsoft hat erklärt, dass die US-Regierung gemäß demUSA Patriot Act Zugang zu den Daten haben könnte, auch wenn das gehostete Unternehmen nicht amerikanisch ist und die Daten sich außerhalb der USA befinden. Microsoft Azure sei jedoch konform mit derEU-Datenschutzrichtlinie (95/46/EG).[37] Um Datenschutz- und Sicherheitsbedenken auszuräumen, hat Microsoft ein sogenanntes Microsoft Azure Trust Center[38] eingerichtet, und Microsoft Azure verfügt über mehrere Dienste, die mit verschiedenen Compliance-Programmen wieISO 27001:2005 undHIPAA konform sind.[39]
Zum September Patchday 2021 hin korrigierte Microsoft insgesamt vier Sicherheitslücken: CVE-2021-38645, CVE-2021-38647, CVE-2021-38648, und CVE-2021-38649. Alle wurden mit dem Risiko „hoch“ eingestuft. Die Lücken betreffen virtuelle Server mitLinux. Doch die Schwachstelle ist nicht in Linux enthalten, sondern in der Windows Management Infrastruktur (WMI). Diese Software sammelt Daten und Statistiken und kann zur Fernsteuerung über Azure genutzt werden. Sie wird als Agent automatisch auf dem Cloudserver der Kunden installiert, wenn dieser bestimmte Funktionen wie unter anderem z. B. Azure Automation oder Azure Log Analytics aktiviert. Die Schwachstellen ermöglichen es den Angreifern, mit vergleichsweise wenig Aufwand volle Root-Rechte auf den Cloudservern zu erhalten. Hierfür muss lediglich der zur Authentifizierung vorgesehene Header in der Anfrage entfernt werden. Ist der Cloudserver über das Internet erreichbar, ist eine Ausnutzung ohne weitere Einschränkungen möglich. Zwar stellt Microsoft Patche bereit, die Kunden müssen jedoch zunächst davon wissen, dass sie durch den Einsatz bestimmter Azure-Funktionen von diesen Sicherheitsfehlern betroffen sind. Und die Aktualisierung selbst auf ihren Servern einspielen.[40] Microsoft entschied sich dafür, lediglich sechs der insgesamt zu diesem Patchday entdeckten 13 Probleme automatisch für die Nutzer zu beheben.
Dieser Umgang mit den kritischen Schwachstellen verursachte Kritik: Dem Kunde wurde ungefragt spezifische Software installiert, die Verantwortung für dadurch entstandenen Probleme werde jedoch auf den Kunde verlagert, so der Vorwurf. Zudem habe Microsoft selbst noch neue Cloudserver mit dieser Lücke ausgeliefert, obwohl das Update bereits veröffentlicht wurde. Gerade in Cloud-Umgebungen sei entsprechend der angepriesenen Werbung zudem die Erwartungshaltung vieler Nutzer, dass er sich um möglichst wenig kümmern müsse und der Anbieter für eine sichere Umgebung sorge. In diesem Falle trifft das jedoch nicht zu und die Kunden sind erst durch die Cloud verwundbar für diese Sicherheitslücken geworden. Die Sicherheitsforscher, welche die Lücken entdeckt haben, gaben ihnen den Namen „OMIGOD“.[41] Bereits wenige Tage nach Bekanntwerden der Probleme berichten mehrere unabhängige Sicherheitsforscher über laufende Attacken von Kriminellen. Diese schürfen etwaKryptowährungen mit den erbeuteten Cloudservern.[42]
Im April 2022 wurde eine Reihe an kritischen Sicherheitslücken in Azure Database for PostgreSQL Flexible Server bekannt. Ursache war, dass Microsoft die quelloffene PostgreSQL Datenbank nicht direkt bereitstellt, sondern mit eigenen Anpassungen versehen hat. Diese Anpassungen waren fehlerhaft und ermöglichten eine Rechteausweitung, wodurch man Abfragen alssuperuser (Administrator mit vollen Rechten) ausführen kann. Bei den Analysen wurden weitere Schwachstellen entdeckt. Beispielsweise waren Verbindungsversuche möglich, die von der Firewall hätten abgewiesen werden sollen. Zudem setzte Azure einen fehlerhaftenRegulären Ausdruck ein. Dieser sollte prüfen, ob eine Domain zum Azure-Netzwerk gehört. Da er am Ende einen Platzhalter für beliebige Zeichen enthielt, konnte man ihn umgehen.[43]
Ende 2022 kam es von Microsoft selbst zu einer Fehlkonfiguration bei ihren eigenen Cloud-Produkten in Azure Blob Storages, wodurch sensible Kundendaten öffentlich im Web verfügbar waren. Darunter persönliche Daten wie Name, E-Mail Adresse, aber auch Inhalte aus geschäftlicher Korrespondenz der Kunden mit Microsoft inklusive deren Anhänge. Der Entdecker der Schwachstelle beziffert das Ausmaß auf über 65.000 betroffene Kunden in 111 Ländern. Insgesamt sind es 2,4 Terabyte an Daten aus dem Zeitraum von 2017 bis August 2022. Damit gehöre er zu den größten Vorfällen zwischen Geschäftskunden in den letzten Jahren. Microsoft räumte die Fehlkonfiguration ein, betonte jedoch, dass es sich um keine Sicherheitslücke handle. Außerdem kritisiert der Konzern, die genannten Zahlen zu den Betroffenen seien übertrieben. Allerdings nannte Microsoft auch auf Nachfrage keine „korrekten“ Zahlen. Da der Konzern angab, alle Betroffenen informiert zu haben, müssen ihm diese Informationen vorliegen.[44]
Azure Active Directory (AAD) ist Microsofts Identitätsdienst in der Cloud, er kann als Cloudvariante des On-Prem VerzeichnisdienstesActive Directory betrachtet werden. In der Cloud nutzt Microsoft einen Tenant (Mieter), um Organisationen abzubilden. Wer AAD in einer Anwendung integrieren möchte, kann in wenigen Schritten einen Identitätsprovider angeben. Es stehen mehrere Kontotypen zur Auswahl, die den Umfang an gültigen Konten abgrenzen. Sie lassen sich auf den eigenen Tenant einschränken, d.H. nur die eigene Organisation kann diese nutzen. Ebenfalls verfügbar ist „Multi-tenant“, womit der Zugriff für jedes AAD Konto freigeschaltet wird. Somit kann sich jeder Kunde von Microsoft mit einem AAD-Konto anmelden (Authentifizierung). Die Verantwortung zur Autorisierung (= ob der Nutzer gewünscht/berechtigt ist), hat Microsoft auf den Entwickler der Anwendung verlagert.
Untersuchungen von „Wiz“ zeigten im März 2023, dass 25 % der Multi-Tenant Anwendungen dies falsch konfigurierten und damit ihre Anwendung für alle Azure-Kunden freigaben. Besondere Brisanz erhielt der Vorfall, da nicht nur Drittanbieter davon betroffen waren, sondern gleich eine ganze Reihe von Microsofts eigenen Diensten:
Es handelt sich jeweils um interne Systeme, auf die nur ausgewählte Mitarbeiter von Microsoft Zugriff haben sollten. Durch den Fehler war es jedoch jedem möglich, dort volle administrative Rechte zu erlangen. Dies ermöglicht weitreichende manipulative Möglichkeiten, wie etwa effektive Phishing-Angriffe oder das Infizieren von Kunden/Nutzern.
Darüber hinaus enthielt die Administrationsoberfläche von Bing eine XSS-Schwachstelle. Da Bing eine Integration in Microsoft/Office 365 enthielt, die berufliche Inhalte anzeigen soll, ließ sich die Schwachstelle dazu verwenden, um unbefugt Zugriff auf umfangreiche Daten aus dem Microsoft/Office 365 Konto des Opfers zu erhalten. Betroffen waren unter anderem Microsoft Outlook Online, Teams, SharePoint, OneDrive und weitere Dienste. Dies wurde in einemProof of Concept anhand von E-Mails aus Outlook verdeutlicht. Die Schwachstelle erstreckt sich also auf viele weitere Dienste, während Bing das Einfallstor dafür geboten hat.
Dass es zu keinen bekannten Angriffen kam, lag dem Umstand geschuldet, dass die Entdecker ethische Hacker sind, die alle Schwachstellen aus moralischen Gründen an Microsoft gemeldet haben.[45] Alleine Bing erreichte im März 2023 100 Millionen aktive Nutzer pro Tag, die durch entsprechende Manipulation erfolgreich und effektiv angegriffen hätten werden können.[46]
Die Entdecker der Konfigurationsfehler und Sicherheitslücken machen die hohe Komplexität von Identitätsdiensten in der Cloud als Ursache verantwortlich, wodurch leicht Fehlkonfigurationen entstehen. Den Nutzern bzw. Entwicklern sei oft nicht klar, dass sie für die Überprüfung der Benutzerzugriffe auch in der Cloud selbst verantwortlich sind.
Laut Microsoft können die Daten auf verschiedenen Servern redundant gespeichert werden. Eine Verfügbarkeit von 99,9 % (diese Verfügbarkeitsklasse 3 entspricht rechnerisch einer jährlichen Ausfallzeit von 8:46 Stunden, sieheHochverfügbarkeit) für den Compute-Bereich von Microsoft Azure wird zugesichert, wenn mindestens zwei Instanzen jeder Rolle gleichzeitig in unterschiedlichen Fehler- und Upgrade-Bereichen laufen,[47] um im Falle eines Ausfalls einer Instanz eine zweite Instanz als Rückfallmöglichkeit zu haben.[48]
Auch für den Storage-Bereich von Microsoft Azure wird eine Verfügbarkeit von 99,9 % zugesichert, wenn es sich um korrekt formulierte Anfragen zum Hinzufügen, Bearbeiten, Lesen oder Löschen der Daten handelt.[47]
Folgend eine Liste von relevanten Ausfällen und Serviceunterbrechungen von Microsoft Azure:
| Datum | Beschreibung |
|---|---|
| 29. Februar 2012 | Ausfall verschiedener Dienste aufgrund eines Schalttag-Software-Fehlers.[49] |
| 26. Juli 2012 | In Westeuropa kam es zu einem zweieinhalb Stunden dauernden Ausfall von Microsofts Cloud-Dienst Azure.[50] |
| 22. Februar 2013 | Ein abgelaufenesSSL-Zertifikat führt zu Ausfällen.[51] |
| 30. Oktober 2013 | Weltweiter Ausfall des Compute-Dienstes.[52] |
| 18. und 19. August 2014 | Weltweiter Ausfall diverser Azure-Dienste über mehrere Stunden.[53] |
| 18. November 2014 | Ein Upgrade des Storage-Dienstes führt zu reduzierten Kapazitäten in verschiedenen Regionen.[54][55] |
| 3. Dezember 2015 | Ausfälle vonActive Directory.[56] |
| 15. September 2016 | Weltweiter Ausfall desDNS-Dienstes.[57] |
| 15. März 2017 | Probleme beim Storage-Dienst.[58] |
| 29. September 2017 | Azure-Kunden in Nordeuropa hatten mehr als sieben Stunden lang nur begrenzt Zugriff auf Microsofts Business-Cloud. Die Ursache des Ausfalls war ein Fehler bei Wartungsarbeiten.[59] |
| 3. Oktober 2017 | Ausfall verursacht durch ein Feuerlöschsystem.[60] |
| 20. Juni 2018 | Fehler im Kühlsystem führt zu Ausfällen.[61] |
| 4. September 2018 | Ausfall des Kühlsystems führt zu Ausfällen in mehreren Regionen für eine Dauer von über 25 Stunden.[62] |
| 29. Januar 2019 | Eintritt eines Störfall mit Datenverlust für eine Anzahl Azure-Kunden, welche das Produkt Azure SQL Database mit transparenter Datenverschlüsselung (TDE) genutzt hatten.[63] |
| 2. Mai 2019 | Probleme bei DNS-Migration.[64] |
| März 2020 | Infolge derCOVID-19-Pandemie massive Kapazitätsengpässe[65] |
| 15. März 2021 | Authentifizierungs Fehler in Azure Services.[66] |
| 1. April 2021 | DNS Bug stört Azure Dienste.[67] |
| 20. April 2021 | Azure Portal weltweit gestört, es erscheint HTTP 503 Error.[68] |
| 25. Januar 2023 | Ab ca. 7 Uhr kommt es zu Störungen bei Azure, die ab etwa 8 Uhr auch zu Problemen und Ausfällen bei zahlreichen eigenen Clouddiensten des Unternehmens führten. Unter anderem waren Teams, Outlook, Exchange, aber auch XBox, Minecraft und Skype betroffen.[69] Die Störungen und Ausfälle dauerten über mehrere Stunden bis zum Nachmittag hin an. Wie angekündigt veröffentlichte Microsoft innerhalb von drei Tagen einen Blogeintrag, wonach mangelnde Qualitätskontrolle die Ursache war: Es sollte die IP-Adresse eines Routers planmäßig geändert werden. Der Befehl dazu verhielt sich aber nicht auf allen Geräten wie erwartet. Da er zuvor nicht den vollständigen Prüfprozess durchlaufen hatte, sorgte dies für verschiedene Netzwerkstörungen. Microsoft kündigte an, innerhalb von 14 Tagen einen vollständigen Bericht zu veröffentlichen. |
| 20. April 2023 | Ein Ausfall in der Azure Active Directory Cloud-Infrastruktur führte am Nachmittag dazu, dass Konsumenten des Microsoft 365 Abonnement die Dienste nicht nutzen konnten. Das Fehlerbild variierte je nach Nutzer. Bei manchen war bereits die Anmeldung nicht möglich. Unternehmenskunden erhielten fälschlicherweise eine Meldung, dass keine ausreichenden Abo-Lizenzen vorhanden seien und man sich an die zuständige Abteilung des lokalen Unternehmens (welches Microsoft 365 Kunde ist) wenden soll.[70] |
