Overzicht van Azure-beveiligingsmaatregelen (v2)
De Azure Security Benchmark (ASB) biedt prescriptieve best practices en aanbevelingen om de beveiliging van workloads, gegevens en services in Azure te verbeteren.
Deze benchmark maakt deel uit van een reeks holistische beveiligingsrichtlijnen die ook het volgende omvatten:
- Cloud Adoption Framework: richtlijnen voor beveiliging, waaronder strategie, rollen en verantwoordelijkheden, aanbevolen procedures voor Azure 10-beveiliging en referentie-implementatie.
- Azure Well-Architected Framework : richtlijnen voor het beveiligen van uw workloads in Azure.
- Best practices voor Microsoft-beveiliging : aanbevelingen met voorbeelden in Azure.
De Azure Security Benchmark richt zich op cloudgerichte controlegebieden. Deze controles zijn consistent met bekende beveiligingsbenchmarks, zoals die worden beschreven door het Center for Internet Security (CIS) Controls version 7.1 en National Institute of Standards and Technology (NIST) SP 800-53. De volgende besturingselementen zijn opgenomen in de Azure Security Benchmark:
| ASB-beheerdomeinen | Description |
|---|---|
| Netwerkbeveiliging (NS) | Netwerkbeveiliging omvat besturingselementen voor het beveiligen en beveiligen van Azure-netwerken, waaronder het beveiligen van virtuele netwerken, het tot stand brengen van privéverbindingen, het voorkomen en beperken van externe aanvallen en het beveiligen van DNS. |
| Identity Management (IM) | Identiteitsbeheer omvat besturingselementen voor het instellen van een beveiligde identiteit en toegangsbeheer met behulp van Azure Active Directory, waaronder het gebruik van eenmalige aanmelding, sterke verificaties, beheerde identiteiten (en service-principals) voor toepassingen, voorwaardelijke toegang en bewaking van accountafwijkingen. |
| Bevoegde toegang (PA) | Bevoegde toegang omvat besturingselementen om bevoegde toegang tot uw Azure-tenant en -resources te beveiligen, waaronder een reeks besturingselementen om uw beheermodel, beheerdersaccounts en werkstations met bevoegde toegang te beschermen tegen opzettelijke en onbedoelde risico's. |
| Gegevensbescherming (DP) | Gegevensbescherming omvat het beheer van gegevensbescherming at rest, tijdens overdracht en via geautoriseerde toegangsmechanismen, waaronder het detecteren, classificeren, beveiligen en bewaken van gevoelige gegevensassets met behulp van toegangsbeheer, versleuteling en logboekregistratie in Azure. |
| Asset Management (AM) | Asset management omvat besturingselementen om de zichtbaarheid en governance van de beveiliging van Azure-resources te garanderen, waaronder aanbevelingen voor machtigingen voor beveiligingspersoneel, beveiligingstoegang tot assetinventaris en het beheren van goedkeuringen voor services en resources (inventaris, bijhouden en corrigeren). |
| Logboekregistratie en detectie van bedreigingen (LT) | Logboekregistratie en detectie van bedreigingen omvat controles voor het detecteren van bedreigingen in Azure en het inschakelen, verzamelen en opslaan van auditlogboeken voor Azure-services, waaronder het inschakelen van detectie-, onderzoek- en herstelprocessen met controles voor het genereren van waarschuwingen van hoge kwaliteit met systeemeigen detectie van bedreigingen in Azure-services; Het omvat ook het verzamelen van logboeken met Azure Monitor, het centraliseren van beveiligingsanalyse met Azure Sentinel, tijdsynchronisatie en logboekretentie. |
| Reactie op incidenten (IR) | Reactie op incidenten omvat besturingselementen in de levenscyclus van reacties op incidenten: voorbereiding, detectie en analyse, insluiting en post-incidentactiviteiten, waaronder het gebruik van Azure-services zoals Azure Security Center en Sentinel om het reactieproces voor incidenten te automatiseren. |
| Postuur en beheer van beveiligingsproblemen (HW) | Postuur- en beveiligingsbeheer richt zich op controles voor het beoordelen en verbeteren van de Azure-beveiligingspostuur, waaronder het scannen van beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden, rapporteren en corrigeren van beveiligingsconfiguraties in Azure-resources. |
| Endpoint Security (ES) | Eindpuntbeveiliging omvat besturingselementen in eindpuntdetectie en -respons, waaronder het gebruik van eindpuntdetectie en -respons (EDR) en de antimalwareservice voor eindpunten in Azure-omgevingen. |
| Back-up en herstel (BR) | Back-up en herstel omvat besturingselementen om ervoor te zorgen dat back-ups van gegevens en configuratie op de verschillende servicelagen worden uitgevoerd, gevalideerd en beveiligd. |
| Governance en strategie (GS) | Governance en strategie bieden richtlijnen voor het garanderen van een coherente beveiligingsstrategie en een gedocumenteerde governancebenadering voor het begeleiden en onderhouden van beveiligingsgaranties, waaronder het vaststellen van rollen en verantwoordelijkheden voor de verschillende cloudbeveiligingsfuncties, een geïntegreerde technische strategie en ondersteunende beleidsregels en standaarden. |
Aanbevelingen voor Azure Security Benchmark
Elke aanbeveling bevat de volgende informatie:
- Azure-id: de Benchmark-id van Azure Security die overeenkomt met de aanbeveling.
- CIS Controls v7.1 ID('s): de CIS-besturingselementen v7.1-besturingselementen die overeenkomen met deze aanbeveling.
- NIST SP 800-53 r4 Id('s): De NIST SP 800-53 r4 (gemiddelde) controle(s) die overeenkomen met deze aanbeveling.
- Details: De reden voor de aanbeveling en koppelingen naar richtlijnen voor het implementeren ervan. Als de aanbeveling wordt ondersteund door Azure Security Center, wordt die informatie ook vermeld.
- Verantwoordelijkheid: of de klant, de serviceprovider of beide verantwoordelijk zijn voor het implementeren van deze aanbeveling. Beveiligingsverantwoordelijkheden worden gedeeld in de openbare cloud. Sommige beveiligingscontroles zijn alleen beschikbaar voor de cloudserviceprovider en daarom is de provider verantwoordelijk voor het aanpakken hiervan. Dit zijn algemene opmerkingen: voor sommige afzonderlijke services is de verantwoordelijkheid anders dan wat wordt vermeld in de Azure Security Benchmark. Deze verschillen worden beschreven in de basislijnaanbeveling voor de afzonderlijke service.
- Belanghebbenden bij klantbeveiliging: de beveiligingsfuncties bij de klantorganisatie die verantwoordelijk, verantwoordelijk of geraadpleegd kunnen zijn voor de respectieve controle. Het kan per organisatie verschillen, afhankelijk van de beveiligingsorganisatiestructuur van uw bedrijf en de rollen en verantwoordelijkheden die u instelt met betrekking tot Azure-beveiliging.
Notitie
De controletoewijzingen tussen ASB en benchmarks in de branche (zoals NIST en CIS) geven alleen aan dat een specifieke Azure-functie kan worden gebruikt om een controlevereiste die is gedefinieerd in NIST of CIS, volledig of gedeeltelijk aan te pakken. Houd er rekening mee dat een dergelijke implementatie zich niet noodzakelijkerwijs vertaalt in de volledige naleving van de bijbehorende controle in CIS of NIST.
We stellen uw gedetailleerde feedback en actieve deelname aan de Azure Security Benchmark-inspanning op prijs. Als u directe invoer wilt geven aan het Azure Security Benchmark-team, vult u het formulier in op https://aka.ms/AzSecBenchmark
Downloaden
U kunt de Azure Security Benchmark downloaden in spreadsheetindeling.
Volgende stappen
- Zie het eerste beveiligingsbeheer: Netwerkbeveiliging
- Lees de inleiding tot Azure Security Benchmark
- Meer informatie over de basisprincipes van Azure-beveiliging