Best practices voor Azure-beveiliging

In dit artikel worden aanbevolen procedures voor beveiliging beschreven, die zijn gebaseerd op lessen die klanten hebben geleerd en op basis van ervaring in onze eigen omgevingen.

Zie de aanbevolen procedures voor Azure-beveiliging voor een videopresentatie.

1. Mensen: Teams informeren over het cloudbeveiligingstraject

Het team moet de reis begrijpen die ze hebben.

Wat?

Informeer uw beveiligings- en IT-teams over het cloudbeveiligingstraject en de wijzigingen die ze gaan uitvoeren, waaronder:

• Bedreigingen in de cloud
• Het model voor gedeelde verantwoordelijkheid en hoe dit van invloed is op beveiliging
• Wijzigingen in cultuur en rollen en verantwoordelijkheden die doorgaans worden geleverd bij cloudimplementatie

Waarom?

Cloudbeveiliging vereist een verschuiving in mindset en benadering. Hoewel de resultaten die de beveiliging aan de organisatie biedt niet veranderen, de beste manier om deze resultaten in de cloud te bereiken aanzienlijk kan veranderen.

De overgang naar de cloud is vergelijkbaar met het overstappen van een zelfstandig huis naar een hoogbouw appartementsgebouw. U hebt nog steeds basisinfrastructuur, zoals sanitair en elektriciteit, en doe vergelijkbare activiteiten, zoals socialiseren, koken, tv en internet, enzovoort. Er is echter vaak een behoorlijk verschil in wat bij het gebouw hoort, wie het levert en onderhoudt, en uw dagelijkse routine.

Wie?

Iedereen in de beveiligings- en IT-organisatie met elke beveiligingsverantwoordelijkheid, van de CIO of CISO tot technische beoefenaars, moet bekend zijn met de wijzigingen.

En hoe?

Bied teams de context die nodig is voor het implementeren en uitvoeren van de overgang naar de cloudomgeving.

Microsoft heeft de volgende lessen gepubliceerd die klanten en IT-organisaties hebben geleerd over hun trajecten naar de cloud.

• Hoe beveiligingsrollen en verantwoordelijkheden zich ontwikkelen in de beveiligingsorganisatie.
• Ontwikkeling van bedreigingsomgeving, rollen en digitale strategieën.
• Transformatie van beveiliging, strategieën, hulpprogramma's en bedreigingen.
• Kennis van de ervaring van Microsoft bij het beveiligen van de hyperscale-cloudomgeving.

Zie de Rollen, verantwoordelijkheden en accountabiliteit van Azure Security Benchmark voor meer informatie.

2. Mensen: Teams informeren over cloudbeveiligingstechnologie

Mensen moet begrijpen waar ze heen gaan.

Wat?

Zorg ervoor dat uw teams tijd hebben gereserveerd voor technisch onderwijs over het beveiligen van cloudresources, waaronder:

• Cloudtechnologie en cloudbeveiligingstechnologie
• Aanbevolen configuraties en aanbevolen procedures
• Waar vindt u meer technische details

Waarom?

Technische teams hebben toegang nodig tot technische informatie om weloverwogen beveiligingsbeslissingen te nemen. Technische teams zijn goed in het leren van nieuwe technologieën op het werk, maar het volume aan details in de cloud overweldigt hun vermogen om te leren in hun dagelijkse routine.

Gereserveerde tijd voor technisch leren. Leren helpt ervoor te zorgen dat mensen tijd hebben om vertrouwen te krijgen in hun vermogen om cloudbeveiliging te beoordelen. Het helpt hen om na te denken over hoe ze hun bestaande vaardigheden en processen kunnen aanpassen.

Wie?

Alle beveiligings- en IT-rollen die rechtstreeks met cloudtechnologie communiceren, moeten tijd besteden aan technische training op cloudplatforms en hoe ze kunnen worden beveiligd.

Beveiliging, IT-technische managers en projectmanagers kunnen vertrouwd raken met enkele technische details voor het beveiligen van cloudresources. Deze kennis helpt hen effectiever te leiden en cloudinitiatieven te coördineren.

En hoe?

Zorg ervoor dat technische beveiligingsprofessionals tijd hebben gereserveerd voor training in eigen tempo over het beveiligen van cloudactiva. Hoewel het niet altijd haalbaar is, biedt u toegang tot formele trainingen met een ervaren docent en praktijklaboratoria.

Belangrijk

Identiteitsprotocollen zijn essentieel voor toegangsbeheer in de cloud, maar worden vaak niet gepriorteerd in on-premises beveiliging. Beveiligingsteams moeten zich richten op het ontwikkelen van bekendheid met deze protocollen en logboeken.

Microsoft biedt uitgebreide bronnen om technische professionals te helpen hun mogelijkheden te verhogen. Deze resources zijn onder andere:

• Azure-beveiliging
  • Az-500-leertraject en certificering
  • Azure Security-benchmark
    • Beveiligingsbasislijnen voor Azure
  • Best practices voor Microsoft-beveiliging
• Azure-naleving
  • Naleving van regelgeving
• Identiteitsprotocollen en -beveiliging
  • Documentatiesite voor Azure-beveiliging
  • YouTube-serie voor Microsoft Entra-verificatie
  • Azure-omgevingen beveiligen met Microsoft Entra-id

3. Proces: Verantwoordelijkheid toewijzen voor beslissingen over cloudbeveiliging

Beveiligingsbeslissingen worden niet genomen als niemand verantwoordelijk is voor het maken ervan.

Wat?

Kies wie verantwoordelijk is voor het nemen van elk type beveiligingsbeslissing voor de Azure-omgeving van het bedrijf.

Waarom?

Het eigendom van beveiligingsbeslissingen versnelt de acceptatie van de cloud en verhoogt de beveiliging. Gebrek aan eigendom creëert doorgaans wrijving omdat niemand zich bevoegd voelt om beslissingen te nemen. Niemand weet wie om een beslissing moet vragen en niemand wordt geïncentiveerd om een goed geïnformeerde beslissing te onderzoeken. Wrijving belemmert vaak:

• Bedrijfsdoelen
• Tijdlijnen voor ontwikkelaars
• IT-doelstellingen
• Beveiligingsgaranties

De wrijving kan leiden tot:

• Vastgelopen projecten die wachten op goedkeuring van de beveiliging
• Onveilige implementaties die niet konden wachten op goedkeuring van de beveiliging

Wie?

Beveiligingsbeheer kiest welke teams of personen verantwoordelijk zijn voor het nemen van beveiligingsbeslissingen over de cloud.

En hoe?

Kies groepen of personen die verantwoordelijk zijn voor het nemen van belangrijke beveiligingsbeslissingen.

Documenteer deze eigenaren, hun contactgegevens en socialiseer de informatie breed binnen de beveiligings-, IT- en cloudteams. Socialisatie zorgt ervoor dat alle rollen eenvoudig contact met hen kunnen opnemen.

Deze gebieden zijn doorgaans waar beveiligingsbeslissingen nodig zijn. In de volgende tabel ziet u de beslissingscategorie, categoriebeschrijving en welke teams vaak de beslissingen nemen.

Beslissing	Omschrijving	Typisch team
Netwerkbeveiliging	Configureer en onderhoud Azure Firewall, virtuele netwerkapparaten en bijbehorende routering, Web Application Firewalls (WAF's), NSG's, ASG's enzovoort.	Het infrastructuur- en eindpuntbeveiligingsteam is gericht op netwerkbeveiliging
Netwerkbeheer	Beheer bedrijfsbrede virtuele netwerken en subnettoewijzing.	Bestaand netwerkbewerkingsteam in centrale IT-activiteiten
Beveiliging van servereindpunt	Bewaak en herstel serverbeveiliging, waaronder patching, configuratie, eindpuntbeveiliging, enzovoort.	Centrale IT-activiteiten en infrastructuur- en eindpuntbeveiligingsteams gezamenlijk
Incidentbewaking en -reactie	Beveiligingsincidenten onderzoeken en herstellen in SIEM of bronconsole, waaronder Microsoft Defender voor Cloud, Microsoft Entra ID Protection, enzovoort.	Beveiligingsteam
Beleidsbeheer	Stel de richting in voor het gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), Defender voor Cloud, strategie voor beheerdersbeveiliging en Azure Policy om Azure-resources te beheren.	Beleid en standaarden en beveiligingsarchitectuurteams gezamenlijk
Identiteitsbeveiliging en -standaarden	Richting instellen voor Microsoft Entra-mappen, PIM/pam-gebruik, meervoudige verificatie, configuratie van wachtwoord/synchronisatie, standaarden voor toepassingsidentiteit.	Teams voor identiteits- en sleutelbeheer, beleid en standaarden en beveiligingsarchitectuur

Notitie

• Zorg ervoor dat besluitvormers het juiste onderwijs hebben op hun gebied van de cloud om deze verantwoordelijkheid te ondersteunen.
• Zorg ervoor dat beslissingen worden gedocumenteerd in beleid en standaarden om een record te bieden en de organisatie op de lange termijn te begeleiden.

4. Proces: Processen voor reactie op incidenten bijwerken voor de cloud

Plan vooruit. Je hebt geen tijd om een crisis te plannen tijdens een crisis.

Wat?

Bereid u voor op beveiligingsincidenten op uw Azure-cloudplatform. Deze voorbereiding omvat alle systeemeigen hulpprogramma's voor detectie van bedreigingen die u hebt aangenomen. Werk processen bij, bereid uw team voor en oefen met gesimuleerde aanvallen, zodat ze optimaal kunnen werken tijdens het onderzoek naar incidenten, herstel en opsporing van bedreigingen.

Waarom?

Actieve aanvallers vormen een onmiddellijk risico voor de organisatie. De situatie kan snel moeilijk te beheersen worden. Reageer snel en effectief op aanvallen. Dit proces voor reactie op incidenten (IR) moet effectief zijn voor uw hele domein, inclusief alle cloudplatforms die zakelijke gegevens, systemen en accounts hosten.

Hoewel cloudplatforms op veel manieren vergelijkbaar zijn, verschillen cloudplatforms technisch van on-premises systemen. On-premises systemen kunnen bestaande processen verbreken, meestal omdat informatie beschikbaar is in een andere vorm. Beveiligingsanalisten kunnen snel reageren op een onbekende omgeving die ze kan vertragen. Deze bewering geldt met name als ze alleen worden getraind op klassieke on-premises architecturen en forensische netwerk-/schijfmethoden.

Wie?

Modernisering van IR-processen wordt doorgaans geleid door beveiligingsbewerkingen. De inspanning wordt vaak geleverd met ondersteuning van andere groepen voor kennis en expertise.

• Sponsorship: De security operations director of equivalente sponsor proces modernisering.

• Uitvoering: Het aanpassen van bestaande processen, of het schrijven ervan voor de eerste keer, is een gezamenlijke inspanning met betrekking tot:

  • Beveiligingsbewerkingen: het incidentbeheerteam of het leiderschap leidt tot proces- en integratieupdates voor belangrijke externe belanghebbenden. Deze teams omvatten juridische en communicatie- of public relations-teams.
  • Beveiligingsbewerkingen: Beveiligingsanalisten bieden expertise op het gebied van technisch incidentonderzoek en -triage.
  • Centrale IT-activiteiten: dit team biedt rechtstreeks expertise op het cloudplatform, via het cloudcentrum van uitmuntendheid of via externe consultants.

En hoe?

Werk processen bij en bereid uw team voor, zodat ze weten wat ze moeten doen wanneer ze een actieve aanvaller vinden.

• Processen en playbooks: Bestaande onderzoeken, herstel- en opsporingsprocessen voor bedreigingen aanpassen aan de verschillen in hoe cloudplatforms werken. De verschillen omvatten nieuwe of verschillende hulpprogramma's, gegevensbronnen, identiteitsprotocollen, enzovoort.
• Onderwijs: analisten informeren over de algehele cloudtransformatie, technische details over hoe het platform werkt en nieuwe of bijgewerkte processen. Met deze informatie kunnen ze weten wat er kan veranderen en waar ze naartoe kunnen gaan voor wat ze nodig hebben.
• Belangrijke aandachtsgebieden: Hoewel er veel details worden beschreven in de resourcekoppelingen, zijn deze gebieden waar u zich kunt richten op uw onderwijs- en planningsinspanningen:
  • Model voor gedeelde verantwoordelijkheid en cloudarchitecturen: Voor een beveiligingsanalist is Azure een softwaregedefinieerde datacenter dat veel services biedt. Deze services omvatten VM's en andere vm's die verschillen van on-premises, zoals Azure SQL Database Azure Functions. De beste gegevens zijn in de servicelogboeken of de gespecialiseerde services voor detectie van bedreigingen. Het bevindt zich niet in logboeken voor de onderliggende besturingssysteem-/VM's, die worden beheerd door Microsoft en meerdere klanten bedienen. Analisten moeten deze context begrijpen en integreren in hun dagelijkse werkstromen. Op die manier weten ze in welke gegevens ze kunnen verwachten, waar ze deze kunnen krijgen en in welke indeling ze zich bevinden.
  • Eindpuntgegevensbronnen: het verkrijgen van inzichten en gegevens voor aanvallen en malware op cloud-gehoste servers is vaak sneller, eenvoudiger en nauwkeuriger met systeemeigen hulpprogramma's voor clouddetectie. Hulpprogramma's zoals Microsoft Defender voor Cloud en eindpuntdetectie en -respons (EDR)-oplossingen bieden nauwkeurigere gegevens dan traditionele benaderingen van directe schijftoegang. Forensische directe schijven zijn beschikbaar voor scenario's waar het mogelijk is en vereist is voor juridische procedures. Zie forensische computer forensische gegevens in Azure voor meer informatie. Vaak is deze aanpak echter de meest inefficiënte manier om aanvallen te detecteren en te onderzoeken.
  • Netwerk- en identiteitsgegevensbronnen: Veel functies van cloudplatforms maken voornamelijk gebruik van identiteit voor toegangsbeheer. Dit toegangsbeheer omvat toegang tot De Azure-portal, hoewel ook uitgebreide netwerktoegangsbeheer wordt gebruikt. Voor dit toegangsbeheer moeten analisten inzicht krijgen in cloudidentiteitsprotocollen om een volledig, uitgebreid beeld te krijgen van de activiteit van aanvallers en legitieme gebruikersactiviteiten ter ondersteuning van incidentonderzoek en herstel. Identiteitsmappen en -protocollen verschillen van on-premises. Ze zijn doorgaans gebaseerd op SAML, OAuth en OpenID Verbinding maken en cloudmappen in plaats van LDAP, Kerberos, NTLM en Active Directory.
  • Oefenoefeningen: Gesimuleerde aanval en respons kunnen helpen bij het opbouwen van spiergeheugen en technische gereedheid van de organisatie. Ze bieden voorbereiding op uw beveiligingsanalisten, bedreigingsjagers, incidentmanagers en andere belanghebbenden in uw organisatie. Leren over de taak en aanpassen is een natuurlijk onderdeel van incidentrespons, maar u kunt werken om te minimaliseren hoeveel u moet leren in een crisis.

Belangrijke informatiebronnen

• Naslaggids voor reageren op incidenten
• Richtlijnen voor het bouwen van uw eigen proces voor het reageren op beveiligingsincidenten
• Logboekregistratie en waarschuwingen voor Azure
• Best practices voor Microsoft-beveiliging
  • Transformatie van beveiliging, strategieën, hulpprogramma's en bedreigingen
  • Beveiligingsbewerkingen
• Microsoft leert van Cyber Defense Operations Center (CDOC)
  • Algemene geleerde lessen
  • Incidentonderzoek
  • Incidentherstel

Zie het reactieproces van Azure Security Benchmark voor incidenten voor Azure voor meer informatie.

5. Proces: Beveiligingspostuurbeheer instellen

Ten eerste, ken je jezelf.

Wat?

Zorg ervoor dat u het beveiligingspostuur van uw Azure-omgeving actief beheert door:

• Het toewijzen van een duidelijk eigendom van verantwoordelijkheden aan:
  • Beveiligingspostuur bewaken
  • Risico's voor assets beperken
• Deze taken automatiseren en vereenvoudigen

Waarom?

Het snel identificeren en oplossen van veelvoorkomende risico's voor beveiligingscontroles vermindert het risico van de organisatie aanzienlijk.

De softwaregedefinieerde aard van clouddatacentra maakt continue bewaking van beveiligingsrisico's mogelijk, zoals softwareproblemen of onjuiste beveiligingsconfiguraties, met uitgebreide asset instrumentatie. De snelheid waarmee ontwikkelaars en HET IT-team VM's, databases en andere resources kunnen implementeren, maken een noodzaak om ervoor te zorgen dat resources veilig en actief worden bewaakt.

Deze nieuwe mogelijkheden bieden nieuwe mogelijkheden, maar het realiseren van waarde van deze mogelijkheden vereist het toewijzen van verantwoordelijkheid voor het gebruik ervan. Het consistent uitvoeren van snel veranderende cloudbewerkingen vereist dat menselijke processen zo eenvoudig en geautomatiseerd mogelijk worden gehouden. Zie het beveiligingsprincipe 'eenvoud van station'.

Notitie

Het doel van vereenvoudiging en automatisering is niet het verwijderen van taken, maar het verwijderen van de last van terugkerende taken van mensen, zodat ze zich kunnen richten op menselijke activiteiten met een hogere waarde, zoals het betrekken en onderwijzen van IT- en DevOps-teams.

Wie?

Deze procedure is doorgaans onderverdeeld in twee sets verantwoordelijkheden:

• Beveiligingspostuurbeheer: deze functie is vaak een evolutie van bestaande functies voor beveiligingsproblemen of governance. Het resultaat omvat het bewaken van de algehele beveiligingspostuur met behulp van Microsoft Defender voor Cloud beveiligingsscore en andere gegevensbronnen. Het omvat actief samenwerken met resource-eigenaren om risico's te beperken en risico's te rapporteren aan beveiligingsleiders.

• Beveiligingsherstel: wijs verantwoordelijkheid toe voor het aanpakken van deze risico's aan de teams die verantwoordelijk zijn voor het beheren van deze resources. Deze verantwoordelijkheid behoort tot de DevOps-teams die hun eigen toepassingsresources beheren of de technologiespecifieke teams in centrale IT-activiteiten:

  • Reken- en toepassingsresources
    • App-services: Ontwikkel- en beveiligingsteams voor toepassingen
    • Containers: Ontwikkeling van toepassingen of infrastructuur/IT-bewerkingen
    • VM's, schaalsets, rekenkracht: IT-/infrastructuurbewerkingen
  • Gegevens- en opslagbronnen
    • SQL, Redis, Data Lake Analytics, Data Lake Store: Databaseteam
    • Opslagaccounts: opslag- en infrastructuurteam
  • Identiteits- en toegangsbronnen
    • Abonnementen: Identiteitsteams
    • Sleutelkluis: Identiteits- of informatie-/gegevensbeveiligingsteam
  • Netwerkresources: Netwerkbeveiligingsteam
  • IoT-beveiliging: IoT Operations-team

En hoe?

Beveiliging is iedereens taak. Niet iedereen weet hoe belangrijk het is, wat te doen en hoe het moet.

• Houd resource-eigenaren verantwoordelijk voor het beveiligingsrisico, net zoals ze verantwoordelijk worden gehouden voor beschikbaarheid, prestaties, kosten en andere succesfactoren.
• Ondersteuning voor resource-eigenaren met een duidelijk inzicht in waarom beveiligingsrisico's van belang zijn voor hun assets, wat ze kunnen doen om risico's te beperken en hoe ze het kunnen implementeren met minimale productiviteitsverlies.

Belangrijk

De uitleg over waarom, wat en hoe u resources beveiligt, zijn vaak vergelijkbaar met verschillende resourcetypen en toepassingen, maar het is essentieel om deze te relateren aan wat elk team al kent en belangrijk vindt. Beveiligingsteams kunnen contact opnemen met hun IT- en DevOps-tegenhangers als een vertrouwde adviseur en partner die is gericht op het succesvol maken van deze teams.

Hulpprogramma's: Beveiligingsscore in Microsoft Defender voor Cloud biedt een evaluatie van de belangrijkste beveiligingsinformatie in Azure voor een groot aantal assets. Deze evaluatie kan uw uitgangspunt zijn voor postuurbeheer en kan indien nodig worden aangevuld met aangepast Azure-beleid en andere mechanismen.

Frequentie: Stel een regelmatig frequentie in, meestal maandelijks, om de beveiligingsscore van Azure te controleren en initiatieven te plannen met specifieke verbeteringsdoelen. De frequentie kan indien nodig worden verhoogd.

Fooi

Gamify de activiteit indien mogelijk om de betrokkenheid te vergroten, zoals het creëren van leuke wedstrijden en prijzen voor de DevOps-teams die hun score het meest verbeteren.

Zie de beveiligingspostuurbeheerstrategie van Azure Security Benchmark voor meer informatie.

6. Technologie: wachtwoordloze of meervoudige verificatie vereisen

Wilt u de beveiliging van uw onderneming wedden dat professionele aanvallers het wachtwoord van uw beheerder niet kunnen raden of stelen?

Wat?

Vereisen dat alle beheerders zonder wachtwoord of meervoudige verificatie gebruikmaken van kritieke gevolgen.

Waarom?

Net zoals antieke skeletsleutels een huis niet beschermen tegen een moderne inbreker, kunnen wachtwoorden accounts niet beschermen tegen veelvoorkomende aanvallen. Zie Uw pa$$word maakt niet uit voor technische details.

Meervoudige verificatie was ooit een lastige extra stap. Methoden zonder wachtwoord verbeteren tegenwoordig hoe gebruikers zich aanmelden met behulp van biometrische benaderingen, zoals gezichtsherkenning in Windows Hello en mobiele apparaten. Daarnaast onthouden nul vertrouwensmethoden vertrouwde apparaten. Deze methode vermindert het vragen om vervelende out-of-band meervoudige verificatieacties. Zie de aanmeldingsfrequentie van gebruikers voor meer informatie.

Wie?

Wachtwoord en meervoudig initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer of beveiligingsarchitectuur.

• Sponsorship: De CISO, CIO of directeur van identiteit sponsoren dit werk doorgaans.
• Uitvoering: Uitvoering is een gezamenlijke inspanning met betrekking tot:
  • Beleids- en standaardenteam: stel duidelijke vereisten vast.
  • Identiteits- en sleutelbeheer of centrale IT-bewerkingen: implementeer het beleid.
  • Beveiligingsnalevingsbeheer: controleren om naleving te garanderen.

En hoe?

Implementeer wachtwoordloze of meervoudige verificatie. Train beheerders over het gebruik ervan naar behoefte en vereisen dat beheerders dit volgen met behulp van geschreven beleid. Gebruik een of meer van deze technologieën:

• Windows Hello zonder wachtwoord
• Verificator-app zonder wachtwoord
• Meervoudige verificatie van Microsoft Entra
• Oplossing voor meervoudige verificatie van derden

Notitie

Meervoudige verificatie op basis van tekstberichten is nu relatief goedkoop voor aanvallers om te omzeilen, dus focus op wachtwoordloze en sterkere meervoudige verificatie.

Zie de krachtige verificatiecontroles van Azure Security Benchmark voor alle toegang op basis van Microsoft Entra ID voor meer informatie.

7. Technologie: Systeemeigen firewall en netwerkbeveiliging integreren

Vereenvoudig de beveiliging van systemen en gegevens tegen netwerkaanvallen.

Wat?

Vereenvoudig uw netwerkbeveiligingsstrategie en -onderhoud door Azure Firewall, Azure Web App Firewall (WAF) en DDoS-oplossingen (Distributed Denial of Service) te integreren in uw netwerkbeveiligingsbenadering.

Waarom?

Eenvoud is essentieel voor beveiliging, omdat het de kans op verwarring, onjuiste configuraties en andere menselijke fouten vermindert. Zie het beveiligingsprincipe 'eenvoud van station'.

Firewalls en WAF's zijn belangrijke basisbeveiligingsmechanismen om toepassingen te beschermen tegen schadelijk verkeer, maar hun installatie en onderhoud kunnen complex zijn en een aanzienlijke hoeveelheid tijd en aandacht van het beveiligingsteam verbruiken (vergelijkbaar met het toevoegen van aangepaste aftermarket-onderdelen aan een auto). De systeemeigen mogelijkheden van Azure kunnen de implementatie en werking van firewalls, webtoepassingsfirewalls, DDoS-oplossingen (Gedistribueerde Denial of Service) vereenvoudigen en meer.

Met deze oefening kunt u de tijd en aandacht van uw team vrijmaken voor beveiligingstaken met een hogere waarde, zoals:

• De beveiliging van Azure-services evalueren
• Beveiligingsbewerkingen automatiseren
• Beveiliging integreren met toepassingen en IT-oplossingen

Wie?

• Sponsorship: Beveiligingsleiderschap of IT-leiderschap sponsort doorgaans de update van de netwerkbeveiligingsstrategie.
• Uitvoering: Het integreren van strategieën in uw cloudnetwerkbeveiligingsstrategie is een gezamenlijke inspanning met betrekking tot:
  • Beveiligingsarchitectuur: Maak een architectuur voor cloudnetwerkbeveiliging met cloudnetwerk- en cloudnetwerkbeveiligingsleiders.
  • Cloudnetwerk leidt centrale IT-bewerkingen en het cloudnetwerkbeveiligingsteam leidt infrastructuurbeveiligingsteam
    • Maak een architectuur voor cloudnetwerkbeveiliging met beveiligingsarchitecten.
    • Configureer de mogelijkheden van firewall, NSG en WAF en werk samen met toepassingsarchitecten op WAF-regels.
  • Toepassingsarchitecten: Werken met netwerkbeveiliging om WAF-regelsets en DDoS-configuraties te bouwen en verfijnen om de toepassing te beveiligen zonder de beschikbaarheid te verstoren

En hoe?

Organisaties die hun activiteiten willen vereenvoudigen, hebben twee opties:

• Bestaande mogelijkheden en architecturen uitbreiden: veel organisaties kiezen er vaak voor om het gebruik van bestaande firewallmogelijkheden uit te breiden, zodat ze kunnen investeren in bestaande investeringen in vaardigheden en procesintegratie, met name wanneer ze de cloud voor het eerst gebruiken.
• Systeemeigen beveiligingscontroles omarmen: Meer organisaties gaan liever systeemeigen besturingselementen gebruiken om de complexiteit van de integratie van mogelijkheden van derden te voorkomen. Deze organisaties proberen doorgaans het risico van een onjuiste configuratie in taakverdeling, door de gebruiker gedefinieerde routes, de firewall of WAF zelf te voorkomen en vertragingen in de overdracht tussen verschillende technische teams. Deze optie is aantrekkelijk voor organisaties die infrastructuur als codebenaderingen omarmen, omdat ze de ingebouwde mogelijkheden eenvoudiger kunnen automatiseren en instrumenteren dan mogelijkheden van derden.

Documentatie over systeemeigen netwerkbeveiligingsmogelijkheden van Azure vindt u op:

• Azure Firewall
• Azure Web Application Firewall (WAF)
• Azure DDoS-beveiliging

Azure Marketplace bevat veel externe firewallproviders.

Zie de DDOS-beveiliging van Azure Security Benchmark en web application firewall-beveiliging voor meer informatie.

8. Technologie: Systeemeigen detectie van bedreigingen integreren

Vereenvoudig de detectie en reactie van aanvallen op Azure-systemen en -gegevens.

Wat?

Vereenvoudig uw strategie voor bedreigingsdetectie en -respons door systeemeigen mogelijkheden voor detectie van bedreigingen op te nemen in uw beveiligingsbewerkingen en SIEM.

Waarom?

Het doel van beveiligingsbewerkingen is het verminderen van de impact van actieve aanvallers die toegang krijgen tot de omgeving. De impact wordt gemiddeld gemeten om MTTA-incidenten (MTTA) te erkennen en te herstellen. Deze procedure vereist zowel nauwkeurigheid als snelheid in alle elementen van incidentrespons. Het resultaat zorgt ervoor dat de kwaliteit van hulpprogramma's en de efficiëntie van procesuitvoering essentieel zijn.

Het is moeilijk om hoge bedreigingsdetecties op te halen met behulp van bestaande hulpprogramma's en benaderingen. De hulpprogramma's en benaderingen zijn ontworpen voor on-premises detectie van bedreigingen vanwege verschillen in cloudtechnologie en het snelle tempo van verandering. Systeemeigen geïntegreerde detecties bieden oplossingen voor industriële schaal die worden onderhouden door cloudproviders die actuele bedreigingen en wijzigingen in het cloudplatform kunnen bijhouden.

Met deze systeemeigen oplossingen kunnen beveiligingsteams zich richten op incidentonderzoek en herstel. Richt u op deze items in plaats van tijd te verspillen door waarschuwingen te maken van onbekende logboekgegevens, het integreren van hulpprogramma's en onderhoudstaken.

Wie?

Dit wordt doorgaans aangestuurd door het beveiligingsteam .

• Sponsorship: Dit werk wordt doorgaans gesponsord door de security operations director of een equivalente rol.
• Uitvoering: Het integreren van systeemeigen detectie van bedreigingen is een gezamenlijke inspanning met betrekking tot deze oplossingen met:
  • Beveiligingsbewerkingen: integreer waarschuwingen in SIEM- en incidentonderzoeksprocessen. Beveiligingsbewerkingen kunnen analisten informeren over cloudwaarschuwingen en wat ze betekenen en hoe ze de systeemeigen cloudhulpprogramma's kunnen gebruiken.
  • Incidentvoorbereiding: Integreer cloudincidenten in oefenoefeningen en zorg ervoor dat oefenoefeningen worden uitgevoerd om teamgereedheid te stimuleren.
  • Bedreigingsinformatie: Onderzoek en integreer informatie over cloudaanvallen om teams te informeren met context en intelligentie.
  • Beveiligingsarchitectuur: integreer systeemeigen hulpprogramma's in documentatie voor beveiligingsarchitectuur.
  • Beleid en standaarden: stel standaarden en beleid in voor het inschakelen van systeemeigen hulpprogramma's in de hele organisatie. Controleren op naleving.
  • Infrastructuur en eindpunt en centrale IT-bewerkingen: detecties configureren en inschakelen, integreren in automatisering en infrastructuur als codeoplossingen.

En hoe?

Schakel bedreigingsdetectie in Microsoft Defender voor Cloud in voor alle resources die u gebruikt en laat elk team deze resources integreren in hun processen, zoals hierboven beschreven.

Zie de bedreigingsdetectie van Azure Security Benchmark voor Azure-resources voor meer informatie.

9. Architectuur: Standaardiseren op één map en identiteit

Niemand wil meerdere identiteiten en mappen verwerken.

Wat?

Standaardiseren op één Microsoft Entra-map. U kunt één identiteit standaardiseren voor elke toepassing en gebruiker in Azure.

Notitie

Deze best practice verwijst specifiek naar bedrijfsresources. Voor partneraccounts gebruikt u Microsoft Entra B2B , zodat u geen accounts hoeft te maken en onderhouden in uw directory. Voor klant- of burgeraccounts gebruikt u Azure AD B2C om ze te beheren.

Waarom?

Meerdere accounts en identiteitsmappen zorgen voor onnodige wrijving, waardoor verwarring ontstaat in dagelijkse werkstromen voor:

• Productiviteitsgebruikers
• Ontwikkelaars
• IT- en identiteitsbeheerders
• Beveiligingsanalisten
• Andere rollen

Het beheren van meerdere accounts en mappen zorgt voor een stimulans voor slechte beveiligingsprocedures. Deze procedures omvatten zaken zoals het opnieuw gebruiken van wachtwoorden in accounts. Het verhoogt de kans op verouderde of verlaten accounts waarop aanvallers zich kunnen richten.

Hoewel het soms gemakkelijker lijkt om snel een aangepaste LDAP-adreslijst op te stellen voor een bepaalde toepassing of workload, maakt deze actie veel meer werk om te integreren en beheren. Dit werk is vergelijkbaar met het instellen van een extra Azure-tenant of een on-premises Active Directory-forest in plaats van de bestaande enterprise-tenant te gebruiken. Zie het beveiligingsprincipe voor het stimuleren van eenvoud voor meer informatie.

Wie?

Standaardiseren op één Microsoft Entra-directory is vaak een teamoverschrijdende inspanning. De inspanningen worden bepaald door beveiligingsarchitectuur of identiteits- en sleutelbeheerteams .

• Sponsorship: Identiteits- en sleutelbeheer en beveiligingsarchitectuur sponsoren dit werk meestal, hoewel sommige organisaties mogelijk sponsorship van CISO of CIO vereisen.
• Uitvoering: Uitvoering is een gezamenlijke inspanning met betrekking tot:
  • Beveiligingsarchitectuur: dit team neemt het proces op in documenten en diagrammen voor beveiliging en IT-architectuur.
  • Beleid en standaarden: dit team documentert beleid en bewaakt op naleving.
  • Identiteits- en sleutelbeheer of centrale IT-activiteiten: deze teams implementeren het beleid door functies in te schakelen en ontwikkelaars te ondersteunen met accounts, onderwijs, enzovoort.
  • Toepassingsontwikkelaars of centrale IT-bewerkingen: deze teams gebruiken identiteit in toepassingen en Azure-serviceconfiguraties. Verantwoordelijkheden variëren op basis van het niveau van DevOps-acceptatie.

En hoe?

Neem een pragmatische benadering aan die begint met nieuwe greenfield-mogelijkheden. Schoon vervolgens uitdagingen op met het brownfield van bestaande toepassingen en services als vervolgoefening:

• Greenfield: Stel een duidelijk beleid vast en implementeer dat alle bedrijfsidentiteiten één Microsoft Entra-directory met één account voor elke gebruiker kunnen gebruiken.

• Brownfield: Veel organisaties hebben vaak meerdere verouderde mappen en identiteitssystemen. Los deze verouderde items op wanneer de kosten van doorlopende beheerwrijving de investering overschrijden om deze op te schonen. Hoewel oplossingen voor identiteitsbeheer en synchronisatie een aantal van deze problemen kunnen beperken, hebben ze geen uitgebreide integratie van beveiligings- en productiviteitsfuncties. Deze functies maken een naadloze ervaring mogelijk voor gebruikers, beheerders en ontwikkelaars.

De ideale tijd om uw gebruik van identiteit te combineren, is tijdens de ontwikkelingscycli van toepassingen terwijl u:

• Moderniseer toepassingen voor de cloud.
• Cloudtoepassingen bijwerken met DevOps-processen.

Hoewel er geldige redenen zijn voor een afzonderlijke adreslijst voor onafhankelijke bedrijfseenheden of wettelijke vereisten, vermijdt u meerdere directory's in alle andere omstandigheden.

Zie het Azure Security Benchmark Microsoft Entra Central-identiteits- en verificatiesysteem voor meer informatie.

Belangrijk

De enige uitzondering op de regel voor één account is dat bevoegde gebruikers, waaronder IT-beheerders en beveiligingsanalisten, afzonderlijke accounts kunnen hebben voor standaardgebruikerstaken vergeleken met beheertaken.

Zie bevoegde toegang tot Azure Security Benchmark voor meer informatie.

10. Architectuur: op identiteit gebaseerd toegangsbeheer gebruiken in plaats van sleutels

Wat?

Gebruik Waar mogelijk Microsoft Entra-identiteiten in plaats van verificatie op basis van sleutels. Bijvoorbeeld Azure-services, toepassingen, API's.

Waarom?

Verificatie op basis van sleutels kan worden gebruikt voor verificatie bij cloudservices en API's. Maar het vereist dat sleutels veilig worden beheerd, wat lastig is om goed te doen, vooral op schaal. Veilig sleutelbeheer is moeilijk voor niet-beveiligingsprofessionals, zoals ontwikkelaars en infrastructuurprofessionals, en ze mislukken vaak veilig, waardoor vaak grote beveiligingsrisico's voor de organisatie ontstaan.

Verificatie op basis van identiteit ondervangt veel van deze uitdagingen met volwassen mogelijkheden. De mogelijkheden zijn onder andere geheimrotatie, levenscyclusbeheer, beheerdelegering en meer.

Wie?

Implementatie van toegangsbeheer op basis van identiteiten is vaak een teamoverschrijdende inspanning. De inspanningen worden bepaald door beveiligingsarchitectuur of identiteits- en sleutelbeheerteams .

• Sponsorship: Deze inspanning wordt doorgaans gesponsord door beveiligingsarchitectuur of identiteits- en sleutelbeheer , hoewel sommige organisaties mogelijk sponsorship van CISO of CIO vereisen.
• Uitvoering: Een gezamenlijke inspanning met betrekking tot:
  • Beveiligingsarchitectuur: dit team bevat aanbevolen procedures voor beveiligings- en IT-architectuurdiagrammen en -documenten.
  • Beleid en standaarden: dit team documentert beleid en bewaakt op naleving.
  • Identiteits- en sleutelbeheer of centrale IT-activiteiten: deze teams implementeren het beleid door functies in te schakelen en ontwikkelaars te ondersteunen met accounts, onderwijs, enzovoort.
  • App-ontwikkelaars of centrale IT-bewerkingen: identiteit gebruiken in toepassingen en Azure-serviceconfiguraties. Verantwoordelijkheden variëren op basis van het niveau van DevOps-acceptatie.

En hoe?

Voor het instellen van een organisatorische voorkeur en gewoonte voor het gebruik van verificatie op basis van identiteiten moet u een proces volgen en technologie inschakelen.

Het proces

1. Stel beleid en standaarden vast die duidelijk de standaardverificatie op basis van identiteiten en acceptabele uitzonderingen aangeven.
2. Informeer ontwikkelaars en infrastructuurteams over waarom ze de nieuwe aanpak moeten gebruiken, wat ze moeten doen en hoe ze dit moeten doen.
3. Implementeer wijzigingen op een pragmatische manier door te beginnen met nieuwe greenfield-mogelijkheden die nu en in de toekomst worden gebruikt, zoals nieuwe Azure-services en nieuwe toepassingen, en vervolgens opvolgen met een opschoning van bestaande brownfield-configuraties.
4. Controleren op naleving en opvolgen met ontwikkelaars- en infrastructuurteams om te herstellen.

De technologieën

Gebruik beheerde identiteiten voor niet-menselijke accounts, zoals services of automatisering. Door Azure beheerde identiteiten kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Microsoft Entra-verificatie. Verificatie wordt ingeschakeld via vooraf gedefinieerde toegangstoekenningen, waardoor in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.

Voor services die geen ondersteuning bieden voor beheerde identiteiten, gebruikt u Microsoft Entra-id om in plaats daarvan een service-principal met beperkte machtigingen op resourceniveau te maken. U moet service-principals configureren met certificaatreferenties en terugvallen op clientgeheimen. In beide gevallen kan Azure Key Vault worden gebruikt met door Azure beheerde identiteiten, zodat de runtime-omgeving, zoals een Azure-functie, de referentie kan ophalen uit de sleutelkluis.

Zie de identiteiten van de Azure Security Benchmark-toepassing voor meer informatie.

11. Architectuur: Één geïntegreerde beveiligingsstrategie tot stand brengen

Iedereen moet in dezelfde richting rijen om vooruit te gaan.

Wat?

Zorg ervoor dat alle teams zijn afgestemd op één strategie waarmee bedrijfssystemen en -gegevens worden toegestaan en beveiligd.

Waarom?

Wanneer teams geïsoleerd werken zonder te worden afgestemd op een gemeenschappelijke strategie, kunnen hun afzonderlijke acties per ongeluk de inspanningen van elkaar verzwakken. De verkeerde uitlijning kan onnodige wrijving creëren die de voortgang vertraagt tegen de doelstellingen van iedereen.

Een voorbeeld van teams die geïsoleerd werken die consistent in veel organisaties zijn uitgespeeld, is de segmentatie van assets:

• Netwerkbeveiliging: ontwikkelt een strategie voor het segmenteren van een plat netwerk. De strategie verhoogt de beveiliging, vaak op basis van fysieke sites, toegewezen IP-adresadressen/bereiken of vergelijkbare items.
• Identiteitsteam: ontwikkelt een strategie voor groepen en Organisatie-eenheden (OE's) van Active Directory op basis van hun begrip en kennis van de organisatie.
• Toepassingsteams: vind het moeilijk om met deze systemen te werken. Het is moeilijk omdat ze zijn ontworpen met beperkte input en inzicht in bedrijfsactiviteiten, doelstellingen en risico's.

In organisaties waar deze beperking plaatsvindt, ondervinden teams vaak conflicten over firewall-uitzonderingen. De conflicten kunnen een negatieve invloed hebben op de beveiliging omdat teams uitzonderingen goedkeuren. Productiviteit heeft een negatieve invloed op de beveiliging, omdat implementaties vertragen voor toepassingsfunctionaliteit die het bedrijf nodig heeft.

Hoewel beveiliging gezonde wrijving kan creëren door kritisch denken af te dwingen, creëert dit conflict alleen beschadigde wrijving die doelen belemmert. Zie richtlijnen voor beveiligingsstrategie voor meer informatie.

Wie?

• Sponsorship: De uniforme strategie wordt doorgaans medegecosponseerd door de CIO, CISO en CTO. De sponsorship wordt vaak geleverd met ondersteuning voor zakelijk leiderschap voor een aantal elementen op hoog niveau en wordt ondersteund door vertegenwoordigers van elk team.
• Uitvoering: De beveiligingsstrategie moet door iedereen worden geïmplementeerd. Het integreert gegevens van verschillende teams om het eigendom, de buy-in en de kans op succes te vergroten.
  • Beveiligingsarchitectuur: dit team leidt de inspanningen om beveiligingsstrategie en resulterende architectuur te bouwen. Beveiligingsarchitectuur verzamelt actief feedback van teams en documenten in presentaties, documenten en diagrammen voor de verschillende doelgroepen.
  • Beleid en standaarden: Dit team legt de juiste elementen vast in standaarden en beleid en bewaakt vervolgens op naleving.
  • Alle technische IT- en beveiligingsteams: deze teams bieden invoervereisten, en stemmen vervolgens af op en implementeren van de bedrijfsstrategie.
  • Eigenaren en ontwikkelaars van toepassingen: deze teams lezen en begrijpen strategiedocumentatie die hierop van toepassing is. Idealiter passen ze begeleiding aan hun rol aan.

En hoe?

Bouw en implementeer een beveiligingsstrategie voor de cloud die de invoer en actieve deelname van alle teams omvat. Hoewel de indeling van de procesdocumentatie kan variëren, omvat deze altijd:

• Actieve invoer van teams: Strategieën mislukken doorgaans als mensen in de organisatie ze niet kopen. Zorg er idealiter voor dat alle teams zich in dezelfde ruimte bevinden om gezamenlijk de strategie te bouwen. In de workshops die we uitvoeren met klanten, vinden we vaak dat organisaties in de feitelijke silo's werken en dat deze vergaderingen vaak leiden tot mensen die elkaar voor het eerst ontmoeten. We vinden dat inclusiviteit een vereiste is. Als sommige teams niet worden uitgenodigd, moet deze vergadering doorgaans worden herhaald totdat alle deelnemers eraan deelnemen. Als ze niet deelnemen, gaat het project niet verder.
• Gedocumenteerd en duidelijk gecommuniceerd: alle teams moeten zich bewust zijn van de beveiligingsstrategie. In het ideale voorbeeld is de beveiligingsstrategie een beveiligingsonderdeel van de algehele technologiestrategie. Deze strategie omvat waarom beveiliging moet worden geïntegreerd, wat belangrijk is in beveiliging en hoe succes met beveiliging eruitziet. Deze strategie bevat specifieke richtlijnen voor toepassings- en ontwikkelteams, zodat ze duidelijke, georganiseerde richtlijnen kunnen krijgen zonder dat ze niet-relevante informatie hoeven te lezen.
• Stabiel, maar flexibel: houd strategieën relatief consistent en stabiel, maar de architecturen en de documentatie moeten mogelijk duidelijkheid toevoegen en ruimte bieden aan de dynamische aard van de cloud. Als u bijvoorbeeld schadelijk extern verkeer filtert, blijft dit consistent als een strategisch imperatief, zelfs als u overstapt van het gebruik van een firewall van derden van de volgende generatie naar Azure Firewall en diagrammen en richtlijnen voor hoe u dit doet.
• Begin met segmentatie: er zijn strategieproblemen die zowel groot als klein zijn om op te lossen, maar u moet ergens beginnen. Start de beveiligingsstrategie met segmentatie van bedrijfsassets. Deze segmentatie is een fundamentele beslissing die lastig zou zijn om later te veranderen en vereist zowel zakelijke invoer als veel technische teams.

Microsoft heeft videorichtlijnen gepubliceerd voor het toepassen van een segmentatiestrategie op Azure. Er zijn documenten gepubliceerd over bedrijfssegmentatie en het afstemmen van de netwerkbeveiliging.

Het Cloud Adoption Framework bevat richtlijnen om uw teams te helpen met:

• Een cloudstrategieteam bouwen: in het ideale plaats integreert u beveiliging in een bestaande cloudstrategie.
• Een beveiligingsstrategie bouwen of moderniseren: Voldoen aan bedrijfs- en beveiligingsdoelen in de huidige leeftijd van cloudservices en moderne bedreigingen.

Zie de governancestrategie van Azure Security Benchmark voor meer informatie.