Beveiligingsbasislijn voor Azure-platform
De Microsoft-beveiligingsgroep en het Center for Internet Security (CIS) hebben best practices ontwikkeld om beveiligingsbasislijnen voor het Azure-platform vast te stellen.
Microsoft heeft in eerste instantie samengewerkt met CIS om een buiten de plank beveiligde virtuele Azure-machine (VM) te ontwikkelen. Een initiatief begon vervolgens met het maken van een CIS-benchmark, een document met informatie over best practices voor CIS, voor Azure-beveiligingsservices en -hulpprogramma's om beveiliging en naleving te vergemakkelijken voor klanttoepassingen die worden uitgevoerd in Azure-services.
Tip
CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 biedt prescriptieve richtlijnen voor het maken van een veilige basislijnconfiguratie voor Azure. Deze handleiding is vanaf februari 2021 getest op de vermelde Azure-services. Het bereik van deze benchmark is het bepalen van het basisniveau van beveiliging voor iedereen die Azure gaat gebruiken.
Een beveiligingsbasislijn voor een platform maken
Verschillende beveiligingsstandaarden kunnen klanten van cloudservices helpen om workloadbeveiliging te realiseren wanneer ze cloudservices gebruiken. De volgende aanbevolen technologiegroepen helpen bij het maken van beveiligde workloads in de cloud. Deze aanbevelingen zijn geen volledige lijst met alle mogelijke beveiligingsconfiguraties en architecturen. Deze aanbevelingen voor beveiligingsbasislijnen zijn een uitgangspunt.
CIS heeft twee implementatieniveaus en verschillende categorieën aanbevelingen:
Niveau 1: aanbevolen minimale beveiligingsinstellingen
- Deze instellingen moeten op alle systemen worden geconfigureerd.
- Deze instellingen moeten leiden tot weinig of geen onderbreking van services of verminderde functionaliteit.
Niveau 2: Aanbevelingen voor zeer veilige omgevingen
- Deze instellingen kunnen leiden tot verminderde functionaliteit.
De volgende tabel bevat de categorieën en het aantal aanbevelingen voor elke categorie in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0:
| Technologiegroep | Beschrijving | Aantal aanbevelingen |
|---|---|---|
| Identity & Access Management (IAM) | Aanbevelingen met betrekking tot IAM-beleid | 23 |
| Microsoft Defender voor Cloud | Aanbevelingen gerelateerd aan de configuratie en het gebruik van Microsoft Defender voor Cloud | 19 |
| Opslagaccounts | Aanbevelingen voor het instellen van beleidsregels voor opslagaccounts | 7 |
| Azure SQL-database | Aanbevelingen voor het beveiligen van Azure SQL-databases | 8 |
| Logboekregistratie en controle | Aanbevelingen voor het instellen van beleid voor logboekregistratie en controle voor uw Azure-abonnementen | 13 |
| Netwerken | Aanbevelingen voor het veilig configureren van Azure-netwerkinstellingen en -beleid | 5 |
| VM's | Aanbevelingen voor het instellen van beveiligingsbeleid voor Azure Compute-services en met name VM's | 6 |
| Overig | Aanbevelingen met betrekking tot algemene beveiliging en operationele controles, waaronder aanbevelingen met betrekking tot Azure Key Vault en resourcevergrendelingen | 3 |
| Totaal aantal aanbevelingen | 84 |
Laten we de verschillende categorieën eens afzonderlijk bekijken.