Sichern Ihrer Azure Load Balancer-Bereitstellung

Azure Load Balancer bietet Layer 4-Lastenausgleichsfunktionen, um eingehenden und ausgehenden Datenverkehr zwischen gesunden Back-End-Instanzen zu verteilen. Da Load Balancer auf der Transportebene ausgeführt wird, müssen Sie sie mit Netzwerksteuerelementen, Identitätssteuerelementen, Überwachungen und Verschlüsselung auf Workloadebene kombinieren, um die vollständige Bereitstellung zu sichern.

Dieser Artikel enthält Sicherheitsempfehlungen für Azure Load Balancer. Durch die Implementierung dieser Empfehlungen können Sie Ihre Sicherheitsverpflichtungen erfüllen und den gesamtsicherheitsstatus Ihrer Bereitstellung verbessern. Eine Übersicht über die Netzwerksicherheitsdienste von Azure und deren Zusammenarbeit finden Sie unter What is Azure network security?.

Die Sicherheitsempfehlungen in diesem Artikel implementieren Zero Trust-Prinzipien: "Explizit überprüfen", "Minimalen Berechtigungszugriff verwenden" und "Verletzung als gegeben ansehen". Umfassende Anleitungen zu Zero Trust finden Sie im Zero Trust Guidance Center.

Important

Basic Load Balancer wurde am 30. September 2025 eingestellt. Vorhandene grundlegende Lastenausgleichsgeräte bleiben betriebsbereit, werden jedoch nicht unterstützt und werden nicht von SLA-Garantien abgedeckt. Aktualisieren Sie so schnell wie möglich auf den Load Balancer Standard. Weitere Informationen finden Sie unter Upgrade von Basic Load Balancer – Anleitung.

Netzwerksicherheit

Die Netzwerksicherheit für Azure Load Balancer konzentriert sich auf die Begrenzung der eingehenden Exposition, die Kontrolle der ausgehenden Konnektivität, die Überprüfung der Back-End-Integrität und die Integration in andere Azure Netzwerksicherheitsdienste.

  • SKU „Load Balancer Standard“ verwenden: Stellen Sie den Load Balancer Standard für Produktionsworkloads bereit. Load Balancer Standard folgt einem standardmäßig sicheren Modell mit geschlossenen eingehenden Verbindungen, unterstützt Verfügbarkeitszonen und stellt eine SLA mit 99,99% bereit. Basic Load Balancer wurde am 30. September 2025 eingestellt und sollte nicht für neue Bereitstellungen verwendet werden. Weitere Informationen finden Sie unter Übersicht über Azure Load Balancer.

  • Implementieren von Netzwerksicherheitsgruppen in Subnetzen und Netzwerkschnittstellen: Wenden Sie Netzwerksicherheitsgruppen (NSGs) auf Back-End-Subnetze und Netzwerkschnittstellen an, um explizit nur erforderliche Ports, Protokolle und Quell-IP-Bereiche zuzulassen. Load Balancer Standard erlaubt eingehenden Datenverkehr erst dann, wenn ein NSG den Datenverkehr ausdrücklich erlaubt. Weitere Informationen finden Sie unter Azure Load Balancer Security Baseline.

  • Integritätsprüfungsdatenverkehr des Azure Load Balancer zulassen: Stellen Sie sicher, dass NSGs, benutzerdefinierte Routen und lokale Firewallrichtlinien den Integritätsprüfungsdatenverkehr von der IP-Adresse 168.63.129.16 zulassen. Blockierte Probes führen dazu, dass funktionierende Backend-Instanzen aus dem Rotationszyklus entfernt werden, was zu vermeidbaren Ausfällen führen kann. Weitere Informationen finden Sie unter Azure Load Balancer-Integritätstests.

  • Verwenden Sie den internen Lastenausgleich für private Workloads: Stellen Sie einen internen Lastenausgleich mit privaten Frontend-IP-Adressen bereit, wenn der Dienst keine direkte Internetverbindung benötigt. Verwenden Sie virtuelles Netzwerk-Peering, VPN, ExpressRoute, Azure Firewall oder private Zugriffsmuster, um zu steuern, wer das Frontend erreichen kann. Weitere Informationen finden Sie unter Azure Load Balancer Components.

  • Schützen Sie öffentliche Lastenausgleichsmodule mit Azure DDoS Protection: Aktivieren Sie Azure DDoS Network Protection in dem virtuellen Netzwerk, das öffentliche Lastenausgleichsmodule hostet. DDoS Protection bietet erweiterte DDoS-Entschärfungs- und Erkennungsfunktionen, die Endpunkte auf Bedrohungen und Anzeichen von Missbrauch überwachen. Weitere Informationen finden Sie unter Protect your public load balancer with Azure DDoS Protection.

  • Verwenden Sie explizite ausgehende Konnektivität: Verlassen Sie sich nicht auf den standardmäßigen ausgehenden Zugriff. Da der standardmäßige ausgehende Zugriff am 30. September 2025 eingestellt wird, sollten Sie Azure NAT Gateway für vorhersagbare ausgehende IP-Adressen verwenden oder explizite Ausgangsregeln für den Load Balancer Standard konfigurieren, wenn NAT Gateway nicht geeignet ist. Weitere Informationen finden Sie unter Outbound connections in Azure and Azure NAT Gateway overview.

  • Konfigurieren Sie den geeigneten Verteilungsmodus: Wählen Sie den Verteilungsmodus aus, der ihren Anwendungs- und Sicherheitsanforderungen entspricht. Verwenden Sie den standardmäßigen 5-Tupel-Hash für die meisten Workloads, und verwenden Sie die Sitzungspersistenz nur, wenn die Anwendung sie benötigt, da die Persistenz ungleich verteilt werden kann und die Resilienz reduziert werden kann. Weitere Informationen finden Sie unter Azure Load Balancer Verteilungsmodi.

  • Aktivieren Sie die TCP-Zurücksetzung für eine klarere Verbindungsbehandlung: Konfigurieren Sie die TCP-Zurücksetzung für Lastenausgleichsregeln, sodass Clients und Back-End-Anwendungen bidirektionale TCP-Zurücksetzungspakete beim Leerlauftimeout erhalten. Ein klarer Verbindungszustand hilft Anwendungen, sich schneller zu erholen, und reduziert mehrdeutige halboffene Verbindungen. Weitere Informationen finden Sie unter Azure Load Balancer bewährte Methoden.

  • Secure floating IP and Gateway Load Balancer Designs: Wenn Sie floating IP für Hochverfügbarkeitsszenarien verwenden, konfigurieren Sie Loopbackschnittstellen ordnungsgemäß, und wenden Sie Hostfirewall-Steuerelemente an. Bei Gateway Load Balancern und virtuellen Netzwerk-Appliances trennen Sie vertrauenswürdigen und nicht vertrauenswürdigen Datenverkehr auf getrennten Tunnelschnittstellen und berücksichtigen Sie den Overhead des VXLAN-Headers. Weitere Informationen finden Sie unter Azure Load Balancer bewährte Methoden.

  • Inspektionsdienste bei Bedarf integrieren: Azure Load Balancer ist ein Layer-4-Dienst und überprüft keine Anwendungsnutzdaten. Leiten Sie Datenverkehr über Azure Firewall, virtuelle Netzwerkappliances, Application Gateway oder Azure Front Door, wenn Sie eine Firewall, eine Webanwendungsfirewall oder eine Layer-7-Überprüfung benötigen. Weitere Informationen finden Sie unter Architecture best practices for Azure Load Balancer.

Identitäts- und Zugriffsverwaltung

Die Identitäts- und Zugriffsverwaltung für Azure Load Balancer steuert, wer Lastenausgleichsressourcen, Regeln, Integritätstests, Front-End-IPs, Back-End-Pools und ausgehende Konnektivität erstellen, aktualisieren, löschen und einsehen kann.

  • Verwenden Sie Microsoft Entra ID für den Zugriff auf die Verwaltungsebene: Fordern Sie Administratoren auf, sich bei der Verwendung des Azure-Portals, der Azure CLI, von Azure PowerShell oder der Azure Resource Manager-APIs mit Microsoft Entra ID zu authentifizieren. Wenden Sie Steuerelemente für bedingten Zugriff an, z. B. mehrstufige Authentifizierung, kompatible Geräteanforderungen und Anmelderisikorichtlinien für privilegierte Netzwerkrollen. Weitere Informationen finden Sie unter Microsoft Entra Bedingter Zugriff.

  • Implementieren Sie die rollenbasierte Zugriffssteuerung in Azure: Weisen Sie Benutzern, Gruppen, verwalteten Identitäten und Automatisierungskonten Azure RBAC-Rollen zu, die Lastenausgleicher verwalten. Verwenden Sie integrierte Rollen wie "Netzwerkmitwirkender" nur, wenn der vollständige Netzwerkverwaltungsbereich erforderlich ist. Weitere Informationen finden Sie unter What is Azure role-based access control?.

  • Verwenden Sie Zugriff mit den geringsten Berechtigungen: Vermeiden Sie umfassende Zuweisungen der Rollen „Besitzer“ oder „Mitwirkender“ für routinemäßige Lastenausgleichsvorgänge. Erstellen Sie benutzerdefinierte Rollen, wenn Operatoren nur bestimmte Berechtigungen für Lese-, Schreib-, Regel-, Integritätstest- oder Back-End-Pool-Vorgänge des Lastenausgleichs benötigen. Weitere Informationen finden Sie unter Benutzerdefinierte Azure-Rollen.

  • Verwenden Sie Privileged Identity Management für erweiterten Zugriff: Machen Sie Rollen mit weitreichenden Auswirkungen mit Microsoft Entra Privileged Identity Management (PIM) aktivierungsfähig, anstatt sie dauerhaft zuzuweisen. Fordern Sie Genehmigung, Mehrfaktorauthentifizierung, Begründung und eine zeitlich begrenzte Aktivierung für Rollen, die Produktions-Load Balancer ändern können. Weitere Informationen finden Sie unter Was ist Microsoft Entra Privileged Identity Management?.

  • Separate Aufgaben für Netzwerk- und Workloadteams: Einschränken, wer Lastenausgleichsregeln, eingehende NAT-Regeln, ausgehende Regeln, Back-End-Poolmitgliedschaft und Testeinstellungen ändern kann. Die Funktionstrennung verringert das Risiko, dass eine einzelne kompromittierte Identität sowohl einen Dienst offenlegen als auch die dahinterliegende Workload ändern kann. Weitere Informationen finden Sie unter bewährte Methoden für Azure RBAC.

  • Änderungen an der Verwaltungsebene überwachen: Überwachen Sie Ereignisse im Azure Activity Log für Konfigurationsänderungen am Lastenausgleich, Rollenzuweisungen und Änderungen an den Diagnoseeinstellungen. Warnung vor unerwarteten Änderungen an Frontend-IP-Konfigurationen, Regelzuordnungen, ausgehenden Regeln oder der Mitgliedschaft in Backendpools. Weitere Informationen finden Sie unter Monitor Azure Load Balancer.

Datenschutz

Der Datenschutz für Azure Load Balancer konzentriert sich auf den Schutz von Datenverkehr, der von Back-End-Workloads verarbeitet wird, und den Schutz von Konfiguration und Telemetrie, da Load Balancer keine Kundenanwendungsdaten speichert.

  • Anwendungsdatenverkehr durchgängig verschlüsseln: Azure Load Balancer arbeitet auf Schicht 4 und führt keine TLS-Terminierung durch und überprüft keine Nutzdaten. Konfigurieren Sie TLS in der Back-End-Anwendung oder in einem Layer 7-Dienst vor dem Back-End, damit datenverkehr bei Bedarf verschlüsselt bleibt. Weitere Informationen finden Sie unter Architecture best practices for Azure Load Balancer.

  • Verwenden Sie den richtigen Dienst für die TLS-Terminierung: Wenn Ihr HTTP- oder HTTPS-Workload TLS-Terminierung, Zertifikatverwaltung, URL-Routing oder eine Prüfung durch eine Web Application Firewall erfordert, verwenden Sie Azure Application Gateway oder Azure Front Door, anstatt sich für diese Funktionen auf den Load Balancer zu verlassen. Weitere Informationen finden Sie unter Übersicht über Azure Load Balancer.

  • Schützen Sie Back-End-Geheimnisse und -Zertifikate: Speichern Sie TLS-Zertifikate, private Schlüssel und Anwendungsgeheimnisse, die von Back-End-Instanzen verwendet werden, in Azure Key Vault. Verwenden Sie verwaltete Identitäten für Back-End-Workloads, anstatt geheime Schlüssel in Skripts, Vorlagen oder VM-Erweiterungen einzubetten. Weitere Informationen finden Sie in der Übersicht über Azure Key Vault.

  • Sichere Diagnosedatenziele: Metriken zum Lastenausgleich, Ablaufprotokolle und archivierte Diagnose können IP-Adressen, Ports und Topologiedetails enthalten. Beschränken Sie den Zugriff auf Log Analytics Arbeitsbereiche, Speicherkonten und Event Hubs, die Diagnose erhalten, und verwenden Sie vom Kunden verwaltete Schlüssel für Speicherkonten, wenn Ihre Complianceanforderungen sie aufrufen. Weitere Informationen finden Sie unter Azure Storage-Verschlüsselung.

  • Vermeiden Sie die Veröffentlichung vertraulicher Topologien in Namen und Tags: Schließen Sie keine geheimen Schlüssel, internen Projektnamen oder vertrauliche Netzwerkdetails in Namen des Lastenausgleichs, Regelnamen, öffentliche IP-DNS-Bezeichnungen oder Ressourcentags ein. Diese Werte können in Protokollen, Exporten, Warnungen und Zugriffsüberprüfungen angezeigt werden. Weitere Informationen finden Sie unter Benennungsregeln und Einschränkungen für Azure-Ressourcen.

Protokollierung und Überwachung

Die Protokollierung und Überwachung für Azure Load Balancer bietet Einblicke in die Verfügbarkeit, Integritätssonden, Datenverkehrsmuster und Konfigurationsänderungen, damit Teams Sicherheits- und Zuverlässigkeitsprobleme schnell erkennen können.

  • Diagnoseeinstellungen aktivieren: Konfigurieren Sie die Diagnoseeinstellungen, um Load Balancer-Metriken und unterstützte Protokolle zur Analyse und Aufbewahrung an einen Log Analytics-Arbeitsbereich, ein Speicherkonto oder Event Hubs zu senden. Weitere Informationen finden Sie unter Monitor Azure Load Balancer.

  • Verwenden Sie Azure Monitor Insights: Stellen Sie Load Balancer Insights bereit, um vorkonfigurierte Dashboards, funktionale Abhängigkeitsdiagramme, den Ressourcenzustand und Metriken für die proaktive Überwachung anzuzeigen. Weitere Informationen finden Sie unter Use Insights to monitor and configure Azure Load Balancer.

  • Konfigurieren der Integritätssondenüberwachung: Implementieren Sie Integritätssonden, die die Anwendungsbereitschaft genau darstellen, nicht nur die Hostverfügbarkeit. Überwachen Sie den Prüfpunktstatus, sodass Back-End-Fehler, Firewallblöcke und Anwendungsausfälle erkannt werden, bevor Benutzer betroffen sind. Weitere Informationen finden Sie unter Verwalten von Integritätstests für Azure Load Balancer.

  • Überwachen von Verbindungs- und Verfügbarkeitsmetriken: Nachverfolgen von Metriken wie Datenpfadverfügbarkeit, Integritätsteststatus, SYN Count, SNAT-Verbindungsanzahl und zugeordneten SNAT-Ports. Verwenden Sie Warnungen, um ausgefallene Back-Ends, anomale Verbindungsspitzen oder die Erschöpfung ausgehender Ports zu identifizieren. Weitere Informationen finden Sie unter Load Balancer Standard-Diagnose mit Metriken, Warnungen und Ressourcenzustand.

  • Aktivieren Sie virtuelle Netzwerkflussprotokolle: Konfigurieren Sie virtuelle Netzwerkflussprotokolle, um Datenverkehrsmuster um Back-End-Subnetze zu analysieren und verdächtige oder unerwartete Flüsse zu identifizieren. Leiten Sie Protokolle an Ihr SIEM-System (Security Information and Event Management) weiter, um mit Workload- und Identitätsereignissen zu korrelieren. Weitere Informationen finden Sie unter Monitor Azure Load Balancer.

  • Sicherheits- und Betriebswarnungen einrichten: Erstellen Sie Azure Monitor-Warnungen für fehlgeschlagene Integritätsprüfungen, geringe Datenpfadverfügbarkeit, ungewöhnliche Anstiege des Datenverkehrs, Indikatoren für eine SNAT-Erschöpfung und unerwartete Änderungen des Aktivitätsprotokolls. Fügen Sie Runbooklinks und Besitzerinformationen in Warnungsaktionen ein. Weitere Informationen finden Sie unter Monitor Azure Load Balancer.

Compliance und Governance

Compliance und Governance für Azure Load Balancer tragen dazu bei, konsistente, wartbare und auditierbare Konfigurationen über Abonnements, Regionen und Umgebungen hinweg zu gewährleisten.

  • Azure Policy-Kontrollen implementieren: Verwenden Sie Azure Policy, um Anforderungen für Lastenausgleichsmodule wie die Verwendung der Standard-SKU, Diagnoseeinstellungen, Tagvergabe und NSG-Zuordnungen für Back-End-Subnetze zu überprüfen und durchzusetzen. Weitere Informationen finden Sie unter Azure Load Balancer Security Baseline.

  • Standardisieren Sie die Bereitstellung mit Infrastruktur als Code: Stellen Sie Load Balancer, öffentliche IP-Adressen, Regeln, Integritätstests, Back-End-Pools und Ausgangskonfigurationen mit ARM-Vorlagen, Bicep oder anderen genehmigten Pipelines für Infrastruktur als Code bereit. Versionsgesteuerte Vorlagen reduzieren die Abweichung und stellen Nachweise für Complianceüberprüfungen bereit. Weitere Informationen finden Sie unter Erstellen eines öffentlichen Lastenausgleichs mit Bicep und Erstellen eines öffentlichen Lastenausgleichs mit einer ARM-Vorlage.

  • Ressourcenkennzeichnung verwenden: Verwenden Sie einheitliche Tags für den Workload-Besitzer, die Datenklassifizierung, die Umgebung, die Geschäftskritikalität und die Disaster-Recovery-Stufe. Tags unterstützen Kostenmanagement, Compliance-Überwachung, Incident-Routing und die Überprüfung von Zuständigkeiten. Weitere Informationen finden Sie unter Azure Ressourcenbenennungs- und Taggingentscheidungshandbuch.

  • Überprüfen Sie nicht unterstützte und ältere Konfigurationen: Inventory Basic Load Balancers, implizite ausgehende Abhängigkeiten, nicht verwaltete öffentliche IPs und fehlende Diagnose. Priorisieren Sie die Migration zu Load Balancer Standard, NAT-Gateway oder expliziten ausgehenden Regeln und überwachten Konfigurationen. Weitere Informationen finden Sie unter Upgrade von Basic auf Load Balancer Standard.

  • Steuern Sie Änderungen über genehmigte Workflows: Fordern Sie eine Änderungsprüfung für Frontend-IPs, eingehende Regeln, NAT-Regeln, ausgehende Regeln, Backendpoolmitgliedschaften, Prüfpfade und Leerlauftimeoutüberschreitungseinstellungen an. Verwenden Sie Azure Aktivitätsprotokoll und den Bereitstellungsverlauf, um zu überprüfen, ob Änderungen aus genehmigten Identitäten und Pipelines stammen. Weitere Informationen finden Sie unter Azure Resource Manager Bereitstellungsverlauf.

Sicherung und Wiederherstellung

Die Sicherung und Wiederherstellung von Azure Load Balancer konzentriert sich auf die Beibehaltung der Konfiguration, die Dokumentation von Abhängigkeiten und den Entwurf resilienter Topologien, die den Verkehrsfluss bei Ausfällen von Instanzen, Zonen oder ganzen Regionen aufrechterhalten.

  • Konfiguration des Load Balancers exportieren und versionieren: Exportieren Sie die Konfiguration des Load Balancer Standard als ARM-Vorlage oder Bicep-Datei und speichern Sie sie in der Quellcodeverwaltung. Erfassen Sie Front-End-IP-Konfigurationen, öffentliche IP-Ressourcen, Back-End-Pools, Lastenausgleichsregeln, eingehende NAT-Regeln, ausgehende Regeln, Integritätssonden und Abhängigkeiten, damit Sie die Bereitstellung schnell wiederherstellen oder neu erstellen können. Weitere Informationen finden Sie unter Exportvorlagen im Azure Portal und Exportvorlagen mit Azure CLI.

  • Dokumentieren Sie die Topologie vor Änderungen: Eintragen von Frontend-IP-Adressen, DNS-Namen, Back-End-Pool-Member, Regel-zu-Probe-Zuordnungen, NAT-Zuordnungen, Design für ausgehende Konnektivität, NSG-Abhängigkeiten, Routingtabellen und Besitzer von Teams vor geplanten Änderungen. Die aktuelle Dokumentation reduziert die Wiederherstellungszeit, wenn ein Rollback oder eine regionale Neuerstellung erforderlich ist. Weitere Informationen finden Sie unter Azure Load Balancer Components.

  • Verwenden Sie einen regionenübergreifenden Load Balancer für Failover über mehrere Regionen: Stellen Sie einen regionenübergreifenden Load Balancer bereit, auch als globaler Load Balancer bezeichnet, wenn Sie ein einzelnes globales Frontend benötigen, das den Datenverkehr auf regionale Load Balancer verteilt. Kombinieren Sie dies mit regionaler Zustandsüberwachung und getesteten Failoververfahren. Weitere Informationen finden Sie unter Regionsübergreifender Lastenausgleich und Bereitstellen eines regionsübergreifenden Lastenausgleichs mithilfe einer ARM-Vorlage.

  • Verwenden Sie zonenredundante Front-Ends für die Ausfallsicherheit über Verfügbarkeitszonen hinweg: Verwenden Sie den Load Balancer Standard mit zonenredundanten Front-End-IP-Konfigurationen, wo Verfügbarkeitszonen unterstützt werden. Standard-SKU enthält integrierte Unterstützung für Zonenredundanz, und ein zonenredundantes Frontend hilft, den Datenpfad verfügbar zu halten, wenn eine Zone fehlschlägt. Weitere Informationen finden Sie unter Azure Load Balancer bewährte Methoden.

  • Back-End-Pools auf mehrere Zonen verteilen: Platzieren Sie Back-End-Instanzen in mehreren Verfügbarkeitszonen, indem Sie Virtual Machine Scale Sets oder VMs mit Verfügbarkeitszonen verwenden. Zonenredundante Back-End-Pools reduzieren die Chance, dass ein einzelner Zonenfehler alle fehlerfreien Instanzen aus der Rotation entfernt. Weitere Informationen finden Sie unter Migrieren von Load Balancer zur Unterstützung von Verfügbarkeitszonen.

  • Konfigurieren von Integritätssonden für automatisches In-Region-Failover: Integritätssonden bestimmen, welche Back-End-Instanzen Datenverkehr empfangen. Konfigurieren Sie Sonden für anwendungsbereite Endpunkte, wählen Sie geeignete Intervalle und Schwellenwerte aus, und testen Sie das Verhalten der Sonden während der Wartung, sodass der Datenverkehr innerhalb der Region automatisch auf funktionsfähige Instanzen umgeleitet wird. Weitere Informationen finden Sie unter Verwalten von Integritätstests für Azure Load Balancer.

  • Failover regelmäßig testen: Testen Sie Instanz-, Zonen- und Regions-Failover-Szenarien nach einem festgelegten Zeitplan. Überprüfen Sie, ob Integritätsprüfungen fehlerhafte Instanzen entfernen, ein regionenübergreifender Load Balancer oder DNS-Routing den Datenverkehr an die sekundäre Region weiterleitet, die ausgehende Konnektivität weiterhin funktioniert und Überwachungswarnungen die richtigen zuständigen Personen erreichen. Weitere Informationen finden Sie unter Azure Load Balancer bewährte Methoden.

Nächste Schritte