Rollen, verantwoordelijkheden en machtigingen
In een organisatie werken verschillende teams samen om ervoor te zorgen dat de workload en de ondersteunende infrastructuur veilig zijn. Om verwarring te voorkomen die beveiligingsrisico's kan veroorzaken, definieert u duidelijke regels van verantwoordelijkheid en scheiding van taken.
Op basis van de ervaring van Microsoft met veel cloud-acceptatieprojecten, zal het vaststellen van duidelijk gedefinieerde rollen en verantwoordelijkheden voor specifieke functies in Azure verwarring voorkomen die kan leiden tot menselijke en automatiseringsfouten die beveiligingsrisico's veroorzaken.
Duidelijke verantwoordelijkheidslijnen
Hebben de teams een duidelijk beeld van de verantwoordelijkheden en de toegangsniveaus voor afzonderlijke/groepen?
Wijs de partijen aan die verantwoordelijk zijn voor specifieke functies in Azure.
Het documenteren en delen van de contactpersonen die verantwoordelijk zijn voor elk van deze functies zorgt voor consistentie en vergemakkelijkt de communicatie. Op basis van onze ervaring met veel cloud-acceptatieprojecten voorkomt u verwarring die kan leiden tot menselijke en automatiseringsfouten die beveiligingsrisico's veroorzaken.
Groepen (of afzonderlijke rollen) aanwijzen die verantwoordelijk zijn voor de belangrijkste functies.
| Groepsrol of individuele rol | Verantwoordelijkheid |
|---|---|
| Netwerkbeveiliging | Doorgaans bestaand netwerkbeveiligingsteam. Configuratie en onderhoud van Azure Firewall, virtuele netwerkapparaten (en bijbehorende routering), Web Application Firewall (WAF), netwerkbeveiligingsgroepen, toepassingsbeveiligingsgroepen (ASG) en ander netwerkverkeer. |
| Netwerkbeheer | Doorgaans bestaand team voor netwerkbewerkingen. Toewijzing van bedrijfsbreed virtueel netwerk en subnet. |
| Server Endpoint Security | Doorgaans IT-activiteiten, beveiliging of gezamenlijk. Serverbeveiliging bewaken en herstellen (patching, configuratie, eindpuntbeveiliging). |
| Incidentbewaking en -respons | Doorgaans beveiligingsteam. Incidentbewaking en -respons voor het onderzoeken en herstellen van beveiligingsincidenten in Security Information and Event Management (SIEM) of bronconsole zoals Azure Security Center Azure AD Identity Protection. |
| Beleidsbeheer | Doorgaans grc team + architectuur. Governance toepassen op basis van risicoanalyse en nalevingsvereisten. Stel de richting in voor het gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), Azure Security Center, strategie voor beheerdersbeveiliging en Azure Policy om Azure-resources te beheren. |
| Identiteitsbeveiliging en -standaarden | Doorgaans gezamenlijk beveiligingsteam en identiteitsteam. Stel de richting in voor Azure AD-directory's, PIM/PAM-gebruik, MFA, wachtwoord-/synchronisatieconfiguratie, Application Identity Standards. |
Notitie
Toepassingsrollen en verantwoordelijkheden moeten verschillende toegangsniveaus van elke operationele functie omvatten. U kunt bijvoorbeeld een productieversie publiceren, toegang krijgen tot klantgegevens, databaserecords bewerken, en meer. Toepassingsteams moeten centrale functies bevatten die in de voorgaande tabel worden vermeld.
Machtigingen toewijzen
Verleen rollen de juiste machtigingen die beginnen met de minste bevoegdheden en voeg meer toe op basis van uw operationele behoeften. Geef uw technische teams die machtigingen implementeren duidelijke richtlijnen. Deze duidelijkheid maakt het gemakkelijker om te detecteren en corrigeren, waardoor menselijke fouten, zoals overuitname, worden beperkt.
Wijs machtigingen toe aan de beheergroep voor het segment in plaats van de afzonderlijke abonnementen. Dit zorgt voor consistentie en zorgt voor een toepassing voor toekomstige abonnementen. Over het algemeen moet u gedetailleerde en aangepaste machtigingen vermijden.
Houd rekening met de ingebouwde rollen in Azure voordat u aangepaste rollen maakt om de juiste machtigingen te verlenen aan VM's en andere objecten.
Groepslidmaatschap van beveiligingsmanagers is mogelijk geschikt voor kleinere teams/organisaties waar beveiligingsteams uitgebreide operationele verantwoordelijkheden hebben.
Bij het toewijzen van machtigingen voor een segment moet u consistentie overwegen en tegelijkertijd flexibiliteit bieden voor verschillende organisatiemodellen. Deze modellen kunnen variëren van één gecentraliseerde IT-groep tot voornamelijk onafhankelijke IT- en DevOps-teams.
Voorbeeld van referentiemodel
In deze sectie wordt dit referentiemodel gebruikt om de overwegingen voor het toewijzen van machtigingen voor verschillende segmenten te demonstreren. Microsoft raadt u aan om te beginnen met deze modellen en zich aan te passen aan uw organisatie.
Referentiemachtigingen voor kernservices
Dit segment host gedeelde services die in de hele organisatie worden gebruikt. Deze gedeelde services omvatten doorgaans Active Directory Domain Services, DNS/DHCP, systeembeheerhulpprogramma's die worden gehost op virtuele IaaS-machines (Infrastructure as a Service).
Zichtbaarheid van beveiliging voor alle resources: voor beveiligingsteams verleent u alleen-lezentoegang tot beveiligingskenmerken voor alle technische omgevingen. Dit toegangsniveau is nodig om risicofactoren te beoordelen, mogelijke oplossingen te identificeren en belanghebbenden in de organisatie te adviseren die het risico accepteren. Zie Zichtbaarheid van beveiligingsteam voor meer informatie.
Beleidsbeheer voor sommige of alle resources: als u naleving van externe (of interne) voorschriften, standaarden en beveiligingsbeleid wilt bewaken en afdwingen, moet u de juiste machtigingen toewijzen aan deze rollen. De rollen en machtigingen die u kiest, zijn afhankelijk van de organisatiecultuur en verwachtingen van het beleidsprogramma. Zie Microsoft Cloud Adoption Framework voor Azure.
Voordat u het beleid definieren, moet u rekening houden met het volgende:
- Hoe wordt de beveiliging van de organisatie gecontroleerd en gerapporteerd? Is er verplichte rapportage?
- Werken de bestaande beveiligingsprocedures?
- Zijn er specifieke vereisten voor de branche, overheid of regelgeving?
Groep(en) (of afzonderlijke rollen) aanwijzen voor centrale functies die van invloed zijn op gedeelde services en toepassingen.
Nadat het beleid is ingesteld, moet u deze standaarden incrementeel verbeteren. Zorg ervoor dat de beveiligingsstatus na verloop van tijd niet verslechtert door naleving te controleren en te controleren. Zie governance, risico en naleving (GRC)voor meer informatie over het beheren van beveiligingsstandaarden van een organisatie.
Centrale IT-bewerkingen voor alle resources: verleen machtigingen aan de centrale IT-afdeling (vaak het infrastructuurteam) om resources zoals virtuele machines en opslag te maken, te wijzigen en te verwijderen. De rollen Inzender of Eigenaar zijn geschikt voor deze functie.
Centrale netwerkgroep voor netwerkresources: wijs de verantwoordelijkheden van netwerkresources toe aan één centrale netwerkorganisatie om consistentie te garanderen en technische conflicten te voorkomen. Deze resources moeten virtuele netwerken, subnetten, netwerkbeveiligingsgroepen (NSG's) en de virtuele machines bevatten die virtuele netwerkapparaten hosten. Wijs de verantwoordelijkheden van netwerkresources toe aan één centrale netwerkorganisatie. De rol Netwerkbijdrager is geschikt voor deze groep. Zie Netwerkbeheer en -beveiliging centraliseren voor meer informatie
Machtigingen voor resourcerol: voor de meeste kernservices worden beheerdersbevoegdheden die nodig zijn om ze te beheren verleend via de toepassing (Active Directory, DNS/DHCP, Systeembeheerprogramma's), zodat er geen extra Azure-resourcemachtigingen nodig zijn. Als uw organisatiemodel vereist dat deze teams hun eigen VM's, opslag of andere Azure-resources beheren, kunt u deze machtigingen toewijzen aan deze rollen.
Workloadsegmenten met autonome DevOps-teams beheren de resources die aan elke toepassing zijn gekoppeld. De werkelijke rollen en hun machtigingen zijn afhankelijk van de grootte en complexiteit van de toepassing, de grootte en complexiteit van het toepassingsteam, en de cultuur van de organisatie en het toepassingsteam.
Servicebeheerder (Break Glass Account) : gebruik de rol Servicebeheerder alleen voor noodsituaties en de eerste installatie. Gebruik deze rol niet voor dagelijkse taken. Zie Emergency Access ('Break Glass' Accounts) voor meer informatie.
Segmentreferentiemachtigingen
Dit ontwerp van segmentmachtigingen biedt consistentie en biedt tegelijkertijd flexibiliteit voor het bereik van organisatiemodellen, van één gecentraliseerde IT-groep tot voornamelijk onafhankelijke IT- en DevOps-teams.
Zichtbaarheid van beveiliging voor alle resources: voor beveiligingsteams verleent u alleen-lezentoegang tot beveiligingskenmerken voor alle technische omgevingen. Dit toegangsniveau is nodig om risicofactoren te beoordelen, mogelijke oplossingen te identificeren en belanghebbenden in de organisatie te adviseren die het risico accepteren. Zie Zichtbaarheid van beveiligingsteam.
Beleidsbeheer voor sommige of alle resources: als u naleving van externe (of interne) voorschriften, standaarden en beveiligingsbeleid wilt bewaken en afdwingen, wijst u de juiste machtigingen toe aan deze rollen. De rollen en machtigingen die u kiest, zijn afhankelijk van de organisatiecultuur en verwachtingen van het beleidsprogramma. Zie Microsoft Cloud Adoption Framework voor Azure.
IT-bewerkingen voor alle resources: verleen machtigingen voor het maken, wijzigen en verwijderen van resources. Het doel van het segment (en de resulterende machtigingen) is afhankelijk van de structuur van uw organisatie.
Segmenten met resources die worden beheerd door een gecentraliseerde IT-organisatie kunnen de centrale IT-afdeling (vaak het infrastructuurteam) toestemming geven om deze resources te wijzigen.
Segmenten die worden beheerd door onafhankelijke bedrijfseenheden of functies (zoals een HUMAN Resources IT-team) kunnen deze teams toestemming geven voor alle resources in het segment.
Segmenten met autonome DevOps-teams hoeven geen machtigingen te verlenen voor alle resources, omdat de resourcerol (hieronder) machtigingen verleent aan toepassingsteams. Gebruik voor noodsituaties het servicebeheerdersaccount (break-glass-account).
Centrale netwerkgroep voor netwerkresources: wijs de verantwoordelijkheden van netwerkresources toe aan één centrale netwerkorganisatie om consistentie te garanderen en technische conflicten te voorkomen. Deze resources moeten virtuele netwerken, subnetten, netwerkbeveiligingsgroepen (NSG's) en de virtuele machines bevatten die virtuele netwerkapparaten hosten. Zie Netwerkbeheer en -beveiliging centraliseren.
Machtigingen voor resourcerol: segmenten met autonome DevOps-teams beheren de resources die aan elke toepassing zijn gekoppeld. De werkelijke rollen en hun machtigingen zijn afhankelijk van de grootte en complexiteit van de toepassing, de grootte en complexiteit van het toepassingsteam en de cultuur van de organisatie en het toepassingsteam.
Servicebeheerder (Break Glass-account) : gebruik de servicebeheerdersrol alleen voor noodsituaties (en de initiële installatie, indien nodig). Gebruik deze rol niet voor dagelijkse taken. Zie Emergency Access ('Break Glass' Accounts) voor meer informatie.
Zichtbaarheid van beveiligingsteam
Een toepassingsteam moet rekening houden met beveiligingsinitiatieven om hun plannen voor beveiligingsverbetering af te stemmen op het resultaat van deze activiteiten. Beveiligingsteams alleen-lezentoegang bieden tot de beveiligingsaspecten van alle technische resources in hun toegangsoverzicht.
Beveiligingsorganisaties moeten inzicht hebben in de technische omgeving om hun taken voor het beoordelen en rapporteren van organisatierisico's uit te voeren. Zonder deze zichtbaarheid moet beveiliging vertrouwen op informatie van groepen en de omgeving, die mogelijk conflicten (en andere prioriteiten) hebben.
Beveiligingsteams kunnen afzonderlijk extra bevoegdheden krijgen als ze operationele verantwoordelijkheden hebben of naleving moeten afdwingen voor Azure-resources.
Wijs in Azure bijvoorbeeld beveiligingsteams toe aan de machtiging Beveiligingslezers die toegang biedt om beveiligingsrisico's te meten (zonder toegang te verlenen tot de gegevens zelf).
Voor bedrijfsbeveiligingsgroepen met een brede verantwoordelijkheid voor de beveiliging van Azure kunt u deze machtiging toewijzen met behulp van:
Hoofdbeheergroep: voor teams die verantwoordelijk zijn voor het beoordelen en rapporteren van risico's voor alle resources
Segmentbeheergroep(en) – voor teams met een beperkt verantwoordelijkheidsbereik (meestal vereist vanwege organisatiegrenzen of wettelijke vereisten)
Belangrijk
Omdat beveiliging uitgebreide toegang heeft tot de omgeving (en inzicht krijgt in mogelijk misbruikbare beveiligingsproblemen), moet u beveiligingsteams behandelen als kritieke impactaccounts en dezelfde beveiligingen toepassen als beheerders. In de sectie Beheer worden deze besturingselementen voor Azure besturingselementen be details.
Voorgestelde acties
- Definieer een proces voor het afstemmen van communicatie-, onderzoek- en opsporingsactiviteiten met het toepassingsteam.
- Volgens het principe van de minste bevoegdheden stelt u toegangsbeheer in voor alle cloudomgevingsbronnen voor beveiligingsteams met voldoende toegang om de vereiste zichtbaarheid in de technische omgeving te krijgen en om hun taken voor het beoordelen en rapporteren van organisatierisico's uit te voeren.
Meer informatie
Het beveiligingsteam van uw organisatie betrekken
Verbonden tenants beheren
Heeft uw beveiligingsteam inzicht in alle bestaande abonnementen en cloudomgevingen? Hoe ontdekken ze nieuwe?
Zorg ervoor dat uw beveiligingsorganisatie op de hoogte is van alle inschrijvingen en gekoppelde abonnementen die zijn verbonden met uw bestaande omgeving (via ExpressRoute of Site-Site VPN) en bewaking als onderdeel van de algehele onderneming.
Deze Azure-resources maken deel uit van uw bedrijfsomgeving en beveiligingsorganisaties hebben er inzicht in nodig. Beveiligingsorganisaties hebben deze toegang nodig om risico's te beoordelen en om te bepalen of organisatiebeleid en toepasselijke wettelijke vereisten worden gevolgd.
De cloudinfrastructuur van de organisatie moet goed worden gedocumenteerd, met beveiligingsteamtoegang tot alle resources die vereist zijn voor bewaking en inzicht. Regelmatige scans van de met de cloud verbonden assets moeten worden uitgevoerd om ervoor te zorgen dat er geen extra abonnementen of tenants zijn toegevoegd buiten de organisatiecontroles. Lees regelmatig de richtlijnen van Microsoft om ervoor te zorgen dat best practices voor toegang door beveiligingsteam worden geraadpleegd en gevolgd.
Voorgestelde acties
Zorg ervoor dat alle Azure-omgevingen die verbinding maken met uw productieomgeving en netwerk, het beleid van uw organisatie en de besturingselementen voor IT-governance voor beveiliging toepassen.
U kunt bestaande verbonden tenants ontdekken met behulp van een hulpprogramma van Microsoft. Richtlijnen voor machtigingen
Volgende stappen
Beperk de toegang tot Azure-resources op basis van de noodzaak om te weten, te beginnen met het principe van beveiliging met minste bevoegdheden en voeg meer toe op basis van uw operationele behoeften.
Verwante koppelingen
Zie CAF:Beheergroep en abonnementsorganisatie voor overwegingen over het gebruik van beheergroepen om de structuur van de organisatie binnen een Azure Active Directory-tenant (Azure AD) weer te geven.
Terug naar het hoofdartikel: Aandachtspunten voor Identiteits- en toegangsbeheer van Azure