Azure-resources in Azure Security Center
De meeste cloudarchitectuur bevat compute-, netwerk-, gegevens- en identiteitsonderdelen en elk daarvan vereist verschillende bewakingsmechanismen. Zelfs Azure-services hebben afzonderlijke bewakingsbehoeften. U kunt bijvoorbeeld de Azure Functions controleren die u wilt Azure-toepassing Insights.
Azure Security Center heeft veel plannen die het beveiligingsstatus van computers, netwerken, opslag- en gegevensservices en toepassingen bewaken om mogelijke beveiligingsproblemen te ontdekken. Veelvoorkomende problemen zijn met internet verbonden VM's, ontbrekende beveiligingsupdates, ontbrekende eindpuntbeveiliging of versleuteling, afwijkingen van basisbeveiligingsconfiguraties, ontbrekende Web Application Firewall (WAF) en meer.
Belangrijkste punten
- Schakel Azure Defender in als een diepgaande verdediging. Gebruik resourcespecifieke Defender-functies, zoals Azure Defender voor servers, Azure Defender voor Eindpunt en Azure Defender voor Storage.
- Bekijk containerhygiëne via containerbewuste hulpprogramma's en regelmatige scans.
- Controleer alle netwerkstroomlogboeken via Network Watcher. Zie diagnostische logboeken in Azure Security Center.
- Integreer alle logboeken in een centrale SIEM-oplossing om verdacht gedrag te analyseren en te detecteren.
- Controleer identiteitsgerelateerde risicogebeurtenissen in Azure AD-rapportage amd Azure Active Directory Identity Protection.
Algemene best practices
Het identificeren van algemene beveiligingsactiviteiten vermindert het algehele risico aanzienlijk.
- Verdachte activiteiten van beheerdersaccounts bewaken.
- Controleer de locatie van waar Azure-resources worden beheerd.
- Controleer pogingen om toegang te krijgen tot gedeactiveerde referenties.
- Gebruik geautomatiseerde hulpprogramma's om configuraties van netwerkresources te bewaken en wijzigingen te detecteren.
Zie Azure-beveiligingsbasislijn voor meer informatie Azure Monitor.
IaaS- en PaaS-beveiliging
In een IaaS-model kunt u de workload in de Azure-infrastructuur hosten. Azure biedt beveiligingsgaranties die isolatie en tijdige beveiligingsupdates voor de infrastructuur onderhouden. Voor meer controle host u de volledige IaaS-oplossing on-premises of in een gehost datacenter en bent u verantwoordelijk voor de beveiliging. U moet beveiliging implementeren op de host, virtuele machine, het netwerk en de opslag. Als u bijvoorbeeld uw eigen VNet hebt, kunt u het inschakelen van Azure Private Link via Azure Monitor zodat u toegang hebt tot dit via een privé-eindpunt.
In PaaS hebt u de verantwoordelijkheid gedeeld met Azure bij het beveiligen van de gegevens.
Virtuele machines
Als u uw eigen virtuele machines Windows Linux gebruikt, gebruikt u Azure Security Center. Profiteer van de gratis services om te controleren op ontbrekende besturingssysteempatches, onjuiste beveiligingsconfiguratie en basisnetwerkbeveiliging. Het inschakelen Azure Defender wordt ten zeerste aanbevolen, omdat u functies krijgt die adaptieve toepassingsbesturingselementen, FIM (File Integrity Monitoring) en andere functies bieden.
Een veelvoorkomende risico is bijvoorbeeld dat de virtuele machines geen oplossingen voor het scannen op beveiligingsleed hebben die op bedreigingen controleren. Azure Security Center deze machines rapporteert. U kunt dit verhelpen in Azure Security Center door een scanoplossing te implementeren. U kunt de ingebouwde scanner voor beveiligingsle gegevens gebruiken voor virtuele machines. U hebt geen licentie nodig. In plaats daarvan kunt u uw licentie gebruiken voor ondersteunde partneroplossingen.
Notitie
Evaluaties van beveiligingsleeds zijn ook beschikbaar voor containerafbeeldingen en SQL servers.
Aanvallers scannen voortdurend openbare cloud-IP-adresbereiken op open beheerpoorten, wat kan leiden tot aanvallen zoals veelvoorkomende wachtwoorden en bekende niet-gepatchte beveiligingsproblemen. Met JIT-toegang (Just-In-Time) kunt u het inkomende verkeer naar de virtuele machines vergrendelen en tegelijkertijd eenvoudig verbinding maken met machines wanneer dat nodig is. Security Center identificeert op welke computers JIT moet worden toegepast.
Met Azure Defender krijgt u ook Microsoft Defender for Endpoint. Dit biedt onderzoekshulpprogramma's voor eindpuntdetectie en -respons (EDR) die helpen bij het detecteren en analyseren van bedreigingen.
Azure Defender voor servers bewaakt ook het netwerk van en naar virtuele machines. Als u netwerkbeveiligingsgroepen gebruikt om de toegang tot de virtuele machines te controleren en de regels te veel worden gebruikt, worden deze gemarkeerd Security Center door de beveiligingsgroep. Adaptieve netwerkverharding biedt aanbevelingen om de NSG-regels verder te harden.
Zie Functiedekking voor machines voor een volledige lijst met functies.
Directe internetverbinding verwijderen
Zorg ervoor dat voor beleid en processen directe internetverbinding door virtuele machines moet worden beperkt en gecontroleerd.
Voor Azure kunt u beleid afdwingen door,
Preventie voor de hele onderneming: voorkom onbedoelde blootstelling door de machtigingen en rollen te volgen die worden beschreven in het referentiemodel.
Zorgt ervoor dat netwerkverkeer standaard wordt gerouteerd via goedgekeurde egress points.
Uitzonderingen (zoals het toevoegen van een openbaar IP-adres aan een resource) moeten worden uitgevoerd via een gecentraliseerde groep die uitzonderingsaanvragen evalueert en ervoor zorgt dat de juiste besturingselementen worden toegepast.
Identificeer en herstel beschikbare virtuele machines met behulp van de Azure Security Center netwerkvisualisatie om snel resources te identificeren die via internet beschikbaar zijn.
Beheerpoorten (RDP, SSH) beperken met just-in-time-toegang in Azure Security Center.
Een van de manier om VM's in het virtuele netwerk te beheren, is met behulp van Azure Bastion. Met deze service kunt u zich aanmelden bij virtuele machines in het virtuele netwerk via SSH of Remote Desktop Protocol (RDP), zonder dat de virtuele machines rechtstreeks op internet worden gebruikt. Zie Network DMZ between Azure and an on-premises datacenter (Netwerk-DMZ tussen Azureen een on-premises datacenter) voor een referentiearchitectuur die gebruikmaakt van Bastion.
Containers
Werkbelastingen in containers hebben een extra abstractie- en orchestrationlaag. Deze complexiteit vereist specifieke beveiligingsmaatregelen die bescherming bieden tegen veelvoorkomende containeraanvallen, zoals toeleveringsketenaanvallen.
Gebruik containerregisters die zijn gevalideerd voor beveiliging. Afbeeldingen in openbare registers bevatten mogelijk malware of ongewenste toepassingen die worden geactiveerd wanneer de container wordt uitgevoerd. Bouw een proces voor ontwikkelaars om snel beveiligingsvalidatie van nieuwe containers en afbeeldingen aan te vragen en te krijgen. Het proces moet worden gevalideerd aan de hand van uw beveiligingsstandaarden. Dit omvat het toepassen van beveiligingsupdates, het scannen op ongewenste code, zoals achterdeuren en ongeoorloofde crypto-muntminers, het scannen op beveiligingsproblemen en de toepassing van veilige ontwikkelingsmethoden.
Een populair procespatroon is het quarantainepatroon. Met dit patroon kunt u uw afbeeldingen in een toegewezen containerregister krijgen en deze onderworpen aan beveiligings- of nalevingsonderzoek dat van toepassing is op uw organisatie. Nadat het is gevalideerd, kunnen ze worden vrijgegeven uit quarantaine en worden gepromoveerd tot beschikbaar.
Azure Security Center identificeert niet-beheerde containers die worden gehost op IaaS Linux-VM's of andere Linux-machines waarop Docker-containers worden uitgevoerd.
Zorg ervoor dat u afbeeldingen uit geautoriseerde registers gebruikt. U kunt deze beperking afdwingen via Azure Policy. Voor een AKS-cluster (Azure Kubernetes Service) hebt u bijvoorbeeld beleidsregels die het cluster beperken tot het alleen pullen van afbeeldingen van Azure Container Registry (ACR) die als onderdeel van de architectuur is geïmplementeerd.
Tip
Dit zijn de resources voor het voorgaande voorbeeld:
GitHub: Azure Kubernetes Service (AKS) Secure Baseline Reference Implementation.De ontwerpoverwegingen worden beschreven in Basislijnarchitectuur voor een AKS-cluster.
Scan regelmatig containers op bekende risico's in het containerregister, vóór gebruik en tijdens gebruik.
Gebruik hulpprogramma's voor beveiligingsbewaking die containerbewust zijn om op afwijkende gedragingen te controleren en onderzoek van incidenten mogelijk te maken.
Azure Defender voor containerregisters zijn ontworpen om AKS-clusters, containerhosts (virtuele machines met Docker) en ACR-registers te beveiligen. Wanneer deze functie is ingeschakeld, zijn de afbeeldingen die worden binnengehaald of naar registers worden pushen onderworpen aan scans voor beveiligingsleed.
Raadpleeg deze artikelen voor meer informatie:
Netwerk
Hoe controleert en diagnoset u de omstandigheden van het netwerk?
Als eerste stap kunt u alle logboeken (inclusief onbewerkt verkeer) van uw netwerkapparaten inschakelen en controleren.
- Logboeken van beveiligingsgroep – stroomlogboeken en diagnostische logboeken
- Azure Network Watcher
Profiteer van de pakketopnamefunctie om waarschuwingen in te stellen en toegang te krijgen tot realtime prestatiegegevens op pakketniveau.
Pakketopname houdt verkeer van en naar virtuele machines bij. Het biedt u de mogelijkheid om proactieve vastleggen uit te voeren op basis van gedefinieerde netwerkafwijkingen, waaronder informatie over netwerkindringingen.
Zie Scenario: Waarschuwingen ontvangen wanneer VM u meer TCP-segmenten stuurt dan normaal voor een voorbeeld.
Vervolgens kunt u zich richten op de waarneembaarheid van specifieke services door de diagnostische logboeken te bekijken. Zie bijvoorbeeld Web Application Firewall-logboeken Azure Application Gateway met geïntegreerde WAF. Azure Security Center analyseert diagnostische logboeken op virtuele netwerken, gateways en netwerkbeveiligingsgroepen en bepaalt of de besturingselementen veilig genoeg zijn. Bijvoorbeeld:
- Is uw virtuele machine blootgesteld aan openbaar internet? Zo ja, hebt u dan strenge regels voor netwerkbeveiligingsgroepen om de machine te beveiligen?
- Zijn de netwerkbeveiligingsgroepen (NSG) en regels die de toegang tot de virtuele machines te ruim in de hand houden?
- Ontvangen de opslagaccounts verkeer via beveiligde verbindingen?
Volg de aanbevelingen van Security Center. Zie Netwerkaanbevelingen voor meer informatie. Gebruik Azure Firewall logboeken en metrische gegevens voor waarneembaarheid in operationele en auditlogboeken.
Integreer alle logboeken in een SIEM-service (Security Information and Event Management), zoals Azure Sentinel. De SIEM-oplossingen ondersteunen de opname van grote hoeveelheden informatie en kunnen grote gegevenssets snel analyseren. Op basis van deze inzichten kunt u het volgende doen:
- Stel waarschuwingen in of blokkeer segmenteringsgrenzen voor verkeer.
- Afwijkingen identificeren.
- Stem de opname af om de fout-positieve waarschuwingen aanzienlijk te verminderen.
Identiteit
Controleer identiteitsgerelateerde risicogebeurtenissen met behulp van adaptieve machine learning algoritmen, heuristieken snel voordat de aanvaller meer toegang tot het systeem kan krijgen.
Identiteitsrisico's beoordelen
De meeste beveiligingsincidenten vinden plaats nadat een aanvaller in eerste instantie toegang krijgt met behulp van een gestolen identiteit. Zelfs als de identiteit lage bevoegdheden heeft, kan de aanvaller deze gebruiken om lateraal te doorlopen en toegang te krijgen tot meer bevoegde identiteiten. Op deze manier kan de aanvaller de toegang tot de doelgegevens of -systemen controleren.
Bewaakt de organisatie actief risicogebeurtenissen met betrekking tot identiteiten die betrekking hebben op mogelijk aangetaste identiteiten?
Controleer identiteitsgerelateerde risicogebeurtenissen op mogelijk aangetaste identiteiten en verhelp deze risico's. Bekijk de gerapporteerde risicogebeurtenissen op de volgende manieren:
- Azure AD-rapportage. Zie het beveiligingsrapport over gebruikers die risico lopen en het beveiligingsrapport over riskante aanmeldingen voor meer informatie.
- Gebruik de rapportagemogelijkheden van Azure Active Directory Identity Protection.
- Gebruik de API voor risicogebeurtenissen van Identity Protection om programmatische toegang te krijgen tot beveiligingsdetecties met behulp van Microsoft Graph. Zie riskDetection en riskyUser API's.
Azure AD maakt gebruik van adaptieve machine learning-algoritmen, heuristieken en bekende verdachte referenties (paren met gebruikersnaam en wachtwoord) om verdachte acties te detecteren die betrekking hebben op uw gebruikersaccounts. Deze paren gebruikersnaam en wachtwoord zijn afkomstig van het bewaken van openbaar en donker web en door samen te werken met beveiligingsonderzoekers, politie en beveiligingsteams van Microsoft.
U kunt risico's oplossen door elk gerapporteerd account handmatig aan te pakken of door een beleid voor gebruikersrisico's in te stellen om een wachtwoordwijziging te vereisen voor gebeurtenissen met een hoog risico.
Kritieke toegang regelmatig controleren
Controleer regelmatig rollen die zijn toegewezen bevoegdheden met een bedrijfskritieke impact.
Stel een terugkerend beoordelingspatroon in om ervoor te zorgen dat accounts worden verwijderd uit machtigingen wanneer rollen veranderen. U kunt de beoordeling handmatig of via een geautomatiseerd proces uitvoeren met behulp van hulpprogramma's zoals Azure AD-toegangsbeoordelingen.
Onveilige protocollen & vervangen
Ontdek en schakel het gebruik van verouderde onveilige protocollen SMBv1, LM/NTLMv1, wDigest, niet-ondertekende LDAP-bindingen en zwakke coderingen in Kerberos uit.
Toepassingen moeten gebruikmaken van de SHA-2-familie van hash-algoritmen (SHA-256, SHA-384, SHA-512). Het gebruik van zwakkere algoritmen, zoals SHA-1 en MD5, moet worden vermeden.
Verificatieprotocollen vormen een essentiële basis van vrijwel alle beveiligingsgaranties. Deze oudere versies kunnen worden misbruikt door aanvallers met toegang tot uw netwerk en worden vaak uitgebreid gebruikt op oudere systemen in IaaS (Infrastructure as a Service).
Hier zijn manieren om uw risico te verminderen:
Ontdek het protocolgebruik door logboeken te controleren Azure Sentinel onveilig protocoldashboard of hulpprogramma's van derden.
Beperk of schakel het gebruik van deze protocollen uit door de richtlijnen voor SMB, NTLM, WDigest te volgen.
Gebruik alleen beveiligde hash-algoritmen (SHA-2-familie).
We raden u aan om wijzigingen te implementeren met behulp van pilot- of andere testmethoden om het risico op operationele onderbrekingen te beperken.
Lees meer
Zie Hash- en handtekeningalgoritmen voor meer informatie over hash-algoritmen.
Verbonden tenants
Heeft uw beveiligingsteam inzicht in alle bestaande abonnementen en cloudomgevingen? Hoe ontdekken ze nieuwe?
Zorg ervoor dat het beveiligingsteam op de hoogte is van alle inschrijvingen en gekoppelde abonnementen die zijn verbonden met uw bestaande omgeving via ExpressRoute of Site-Site VPN. Controleer deze als onderdeel van de algehele onderneming.
Beoordeel of organisatiebeleid en toepasselijke wettelijke vereisten worden gevolgd voor de verbonden tenants. Dit geldt voor alle Azure-omgevingen die verbinding maken met het netwerk van uw productieomgeving.
De cloudinfrastructuur van de organisatie moet goed worden gedocumenteerd, met beveiligingsteamtoegang tot alle resources die vereist zijn voor bewaking en inzicht. Regelmatige scans uitvoeren van de met de cloud verbonden assets om ervoor te zorgen dat er geen extra abonnementen of tenants zijn toegevoegd buiten de organisatiecontroles. Lees regelmatig de richtlijnen van Microsoft om ervoor te zorgen dat best practices voor toegang door beveiligingsteam worden geraadpleegd en gevolgd.
Zie Assign privileges for managing the environment section (Bevoegdheden toewijzen voor het beheren van de omgeving) voor meer informatie over machtigingen voor deze toegang.
Voorgestelde acties
Zorg ervoor dat alle Azure-omgevingen die verbinding maken met uw productieomgeving en netwerk, het beleid van uw organisatie en de besturingselementen voor IT-governance voor beveiliging toepassen.
U kunt bestaande verbonden tenants ontdekken met behulp van een hulpprogramma van Microsoft. Instructies voor machtigingen die u aan beveiliging kunt toewijzen, vindt u in de sectie Bevoegdheden toewijzen voor het beheren van de omgeving.
CI/CD-pijplijnen
DevOps-procedures zijn voor wijzigingsbeheer van de workload via continue integratie, continue levering (CI/CD). Zorg ervoor dat u beveiligingsvalidatie toevoegt aan de pijplijnen. Volg de richtlijnen die worden beschreven in Meer informatie over het toevoegen van continue beveiligingsvalidatie aan uw CI/CD-pijplijn.