Best practices voor beveiliging voor IaaS-workloads in Azure

  • Artikel

In dit artikel worden aanbevolen beveiligingsprocedures voor VM's en besturingssystemen beschreven.

De aanbevolen procedures zijn gebaseerd op een consensus van mening en ze werken met de huidige mogelijkheden en functiesets van het Azure-platform. Omdat meningen en technologieën na verloop van tijd kunnen veranderen, wordt dit artikel bijgewerkt om deze wijzigingen weer te geven.

In de meeste IaaS-scenario's (Infrastructure as a Service) zijn virtuele Azure-machines (VM's ) de belangrijkste workload voor organisaties die gebruikmaken van cloud-computing. Dit is duidelijk in hybride scenario's waarin organisaties workloads langzaam willen migreren naar de cloud. In dergelijke scenario's volgt u de algemene beveiligingsoverwegingen voor IaaS en past u aanbevolen beveiligingsprocedures toe op al uw VM's.

VM's beveiligen met behulp van verificatie en toegangsbeheer

De eerste stap bij het beveiligen van uw VM's is ervoor te zorgen dat alleen geautoriseerde gebruikers nieuwe VM's kunnen instellen en toegang kunnen krijgen tot VM's.

Notitie

Om de beveiliging van Linux-VM's in Azure te verbeteren, kunt u integreren met Microsoft Entra-verificatie. Wanneer u Microsoft Entra-verificatie gebruikt voor Linux-VM's, bepaalt en dwingt u beleid af waarmee toegang tot de VM's wordt toegestaan of geweigerd.

Best practice: VM-toegang beheren. Details: Gebruik Azure-beleid om conventies voor resources in uw organisatie vast te stellen en aangepaste beleidsregels te maken. Pas dit beleid toe op resources, zoals resourcegroepen. VM's die deel uitmaken van een resourcegroep nemen het beleid over.

Als uw organisatie veel abonnementen heeft, wilt u mogelijk de toegang, het beleid en de naleving voor die abonnementen op efficiënte wijze beheren. Azure-beheergroepen bieden een bereikniveau boven abonnementen. U organiseert abonnementen in beheergroepen (containers) en past uw governancevoorwaarden toe op deze groepen. Alle abonnementen binnen een beheergroep nemen automatisch de voorwaarden over die zijn toegepast op de groep. Beheergroepen bieden u beheer van bedrijfskwaliteit op grote schaal, ongeacht de typen abonnementen die u hebt.

Best practice: verminder de variabiliteit in uw installatie en implementatie van VM's. Details: Gebruik Azure Resource Manager-sjablonen om uw implementatiekeuzen te versterken en het gemakkelijker te maken om de VM's in uw omgeving te begrijpen en inventariseren.

Best practice: Beveiligde bevoegde toegang. Details: Gebruik een benadering met minimale bevoegdheden en ingebouwde Azure-rollen om gebruikers toegang te geven tot en vm's in te stellen:

  • Inzender voor virtuele machines: kan VM's beheren, maar niet het virtuele netwerk of opslagaccount waarmee ze zijn verbonden.
  • Inzender voor klassieke virtuele machines: kan vm's beheren die zijn gemaakt met het klassieke implementatiemodel, maar niet het virtuele netwerk of opslagaccount waarmee de VIRTUELE machines zijn verbonden.
  • Beveiliging Beheer: Alleen in Defender voor Cloud: kan beveiligingsbeleid weergeven, beveiligingsstatussen bekijken, beveiligingsbeleid bewerken, waarschuwingen en aanbevelingen bekijken, waarschuwingen en aanbevelingen negeren.
  • DevTest Labs-gebruiker: kan alles bekijken en verbinding maken, starten, opnieuw opstarten en VM's afsluiten.

Uw abonnementsbeheerders en coadmins kunnen deze instelling wijzigen, waardoor ze beheerders zijn van alle VM's in een abonnement. Zorg ervoor dat u al uw abonnementsbeheerders en coadmins vertrouwt om u aan te melden bij een van uw computers.

Notitie

U wordt aangeraden VM's met dezelfde levenscyclus samen te voegen in dezelfde resourcegroep. Met behulp van resourcegroepen kunt u factureringskosten voor uw resources implementeren, bewaken en samenvouwen.

Organisaties die de toegang tot vm's beheren en instellen, verbeteren hun algehele VM-beveiliging.

Meerdere VM's gebruiken voor betere beschikbaarheid

Als uw VIRTUELE machine kritieke toepassingen uitvoert die hoge beschikbaarheid moeten hebben, raden we u ten zeerste aan om meerdere VM's te gebruiken. Gebruik een beschikbaarheidsset of beschikbaarheidszones voor betere beschikbaarheid.

Een beschikbaarheidsset is een logische groepering die u in Azure kunt gebruiken om ervoor te zorgen dat de VM-resources die u erin plaatst, van elkaar worden geïsoleerd wanneer ze worden geïmplementeerd in een Azure-datacenter. Azure zorgt ervoor dat de VM's die u in een beschikbaarheidsset plaatst, worden uitgevoerd op meerdere fysieke servers, rekenrekken, opslageenheden en netwerkswitches. Als er een hardware- of Azure-softwarefout optreedt, wordt alleen een subset van uw VM's beïnvloed en blijft uw algemene toepassing beschikbaar voor uw klanten. Beschikbaarheidssets zijn een essentiële mogelijkheid wanneer u betrouwbare cloudoplossingen wilt bouwen.

Beveiliging tegen malware

U moet antimalwarebeveiliging installeren om virussen, spyware en andere schadelijke software te identificeren en te verwijderen. U kunt Microsoft Antimalware of de eindpuntbeveiligingsoplossing van een Microsoft-partner installeren (Trend Micro, Broadcom, McAfee, Windows Defender en System Center Endpoint Protection).

Microsoft Antimalware bevat functies zoals realtime-beveiliging, gepland scannen, malwareherstel, handtekeningupdates, engine-updates, voorbeeldenrapportage en het verzamelen van uitsluitingsgebeurtenissen. Voor omgevingen die afzonderlijk van uw productieomgeving worden gehost, kunt u een antimalwareextensie gebruiken om uw VM's en cloudservices te beschermen.

U kunt Microsoft Antimalware en partneroplossingen integreren met Microsoft Defender voor Cloud voor eenvoudige implementatie en ingebouwde detecties (waarschuwingen en incidenten).

Best practice: Installeer een antimalwareoplossing om te beschermen tegen malware.
Details: Een Microsoft-partneroplossing of Microsoft Antimalware installeren

Best practice: Integreer uw antimalwareoplossing met Defender voor Cloud om de status van uw beveiliging te bewaken.
Details: Problemen met eindpuntbeveiliging beheren met Defender voor Cloud

Uw VM-updates beheren

Azure-VM's, zoals alle on-premises VM's, zijn bedoeld om door de gebruiker te worden beheerd. Er worden dan ook geen Windows-updates naar VM's gepusht door Azure. U moet uw VM-updates beheren.

Best practice: houd uw VM's actueel.
Details: Gebruik de oplossing Updatebeheer in Azure Automation om updates van besturingssystemen te beheren voor uw Windows- en Linux-computers die zijn geïmplementeerd in Azure, in on-premises omgevingen of in andere cloudproviders. U kunt snel de status van de beschikbare updates op alle agentcomputers beoordelen en de procedure voor het installeren van vereiste updates voor servers beheren.

Computers die worden beheerd door Updatebeheer gebruiken de volgende configuraties voor het uitvoeren van evaluatie- en update-implementaties:

  • Microsoft Monitoring Agent (MMA) voor Windows of Linux
  • PowerShell Desired State Configuration (DSC) voor Linux
  • Automation Hybrid Runbook Worker
  • Microsoft Update of Windows Server Update Services (WSUS) voor Windows-computers

Als u Windows Update gebruikt, laat u de automatische Instelling voor Windows Update ingeschakeld.

Best practice: Zorg ervoor dat installatiekopieën die u hebt gemaakt, de meest recente ronde windows-updates bevatten.
Details: Controleer en installeer alle Windows-updates als eerste stap van elke implementatie. Deze meting is vooral belangrijk om toe te passen wanneer u installatiekopieën implementeert die afkomstig zijn van u of uw eigen bibliotheek. Hoewel installatiekopieën van Azure Marketplace standaard automatisch worden bijgewerkt, kan er een vertragingstijd (maximaal enkele weken) na een openbare release optreden.

Best practice: implementeer uw VM's periodiek opnieuw om een nieuwe versie van het besturingssysteem af te dwingen.
Details: Definieer uw VM met een Azure Resource Manager-sjabloon , zodat u deze eenvoudig opnieuw kunt implementeren. Als u een sjabloon gebruikt, krijgt u een gepatchte en beveiligde VM wanneer u deze nodig hebt.

Best practice: Pas snel beveiligingsupdates toe op VM's.
Detail: Schakel Microsoft Defender voor Cloud (gratis of Standard-laag) in om ontbrekende beveiligingsupdates te identificeren en toe te passen.

Best practice: installeer de meest recente beveiligingsupdates.
Detail: Sommige van de eerste workloads die klanten naar Azure verplaatsen, zijn labs en externe systemen. Als uw Azure-VM's toepassingen of services hosten die toegankelijk moeten zijn voor internet, moet u voorzichtig zijn met patchen. Patch buiten het besturingssysteem. Niet-gepatchte beveiligingsproblemen in partnertoepassingen kunnen ook leiden tot problemen die kunnen worden vermeden als er sprake is van goed patchbeheer.

Best practice: Een back-upoplossing implementeren en testen.
Detail: Een back-up moet op dezelfde manier worden verwerkt als voor elke andere bewerking. Dit geldt voor systemen die deel uitmaken van uw productieomgeving die zich uitbreiden naar de cloud.

Test- en ontwikkelsystemen moeten back-upstrategieën volgen die herstelmogelijkheden bieden die vergelijkbaar zijn met wat gebruikers gewend zijn geworden, op basis van hun ervaring met on-premises omgevingen. Productieworkloads die naar Azure zijn verplaatst, moeten indien mogelijk worden geïntegreerd met bestaande back-upoplossingen. Of u kunt Azure Backup gebruiken om te voldoen aan uw back-upvereisten.

Organisaties die geen software-updatebeleid afdwingen, worden meer blootgesteld aan bedreigingen die gebruikmaken van bekende, eerder opgeloste beveiligingsproblemen. Om te voldoen aan de branchevoorschriften, moeten bedrijven bewijzen dat ze ijverig zijn en de juiste beveiligingscontroles gebruiken om de beveiliging van hun workloads in de cloud te waarborgen.

Aanbevolen procedures voor software-updates voor een traditioneel datacenter en Azure IaaS hebben veel overeenkomsten. U wordt aangeraden uw huidige software-updatebeleid te evalueren om VM's op te nemen die zich in Azure bevinden.

Uw VM-beveiligingspostuur beheren

Cyberthreats ontwikkelen zich. Voor het beveiligen van uw VM's is een bewakingsmogelijkheid vereist waarmee bedreigingen snel kunnen worden gedetecteerd, onbevoegde toegang tot uw resources kan worden voorkomen, waarschuwingen worden geactiveerd en fout-positieven kunnen worden verminderd.

Gebruik Microsoft Defender voor Cloud om de beveiligingspostuur van uw Windows- en Linux-VM's te bewaken. Beveilig uw VM's in Defender voor Cloud door gebruik te maken van de volgende mogelijkheden:

  • Besturingssysteembeveiligingsinstellingen toepassen met aanbevolen configuratieregels.
  • Identificeer en download systeembeveiliging en essentiële updates die mogelijk ontbreken.
  • Aanbevelingen implementeren voor eindpuntbeveiliging tegen malware.
  • Schijfversleuteling valideren.
  • Beveiligingsproblemen beoordelen en oplossen.
  • Bedreigingen detecteren.

Defender voor Cloud kan actief controleren op bedreigingen en potentiële bedreigingen worden weergegeven in beveiligingswaarschuwingen. Gecorreleerde bedreigingen worden samengevoegd in één weergave die een beveiligingsincident wordt genoemd.

Defender voor Cloud gegevens opslaat in Azure Monitor-logboeken. Azure Monitor-logboeken bieden een querytaal en analyse-engine waarmee u inzicht krijgt in de werking van uw toepassingen en resources. Gegevens worden ook verzameld van Azure Monitor, beheeroplossingen en agents die zijn geïnstalleerd op virtuele machines in de cloud of on-premises. Deze gedeelde functionaliteit helpt u een volledig overzicht van uw omgeving te vormen.

Organisaties die geen sterke beveiliging afdwingen voor hun VM's, blijven zich niet bewust van mogelijke pogingen door onbevoegde gebruikers om beveiligingscontroles te omzeilen.

VM-prestaties bewaken

Resourcemisbruik kan een probleem zijn wanneer VM-processen meer resources verbruiken dan ze zouden moeten. Prestatieproblemen met een VIRTUELE machine kunnen leiden tot serviceonderbreking, wat het beveiligingsprincipe van beschikbaarheid schendt. Dit is met name belangrijk voor VM's die als host fungeren voor IIS of andere webservers, omdat een hoog CPU- of geheugengebruik kan duiden op een DoS-aanval (Denial of Service). Het is noodzakelijk om de toegang van vm's niet alleen reactief te bewaken terwijl er een probleem optreedt, maar ook proactief tegen de basislijnprestaties, zoals gemeten tijdens de normale werking.

U wordt aangeraden Azure Monitor te gebruiken om inzicht te krijgen in de status van uw resource. Azure Monitor-functies:

Organisaties die geen VM-prestaties bewaken, kunnen niet bepalen of bepaalde wijzigingen in prestatiepatronen normaal of abnormaal zijn. Een VM die meer resources verbruikt dan normaal, kan duiden op een aanval van een externe resource of een gecompromitteerd proces dat wordt uitgevoerd op de VIRTUELE machine.

Uw virtuele hardeschijfbestanden versleutelen

U wordt aangeraden uw virtuele harde schijven (VHD's) te versleutelen om uw opstartvolume en gegevensvolumes in rust te beschermen in de opslag, samen met uw versleutelingssleutels en geheimen.

Met Azure Disk Encryption voor Linux-VM's en Azure Disk Encryption voor Windows-VM's kunt u uw virtuele Linux- en Windows IaaS-machineschijven versleutelen. Azure Disk Encryption maakt gebruik van de industriestandaard DM-Crypt-functie van Linux en de BitLocker-functie van Windows om volumeversleuteling te bieden voor het besturingssysteem en de gegevensschijven. De oplossing is geïntegreerd met Azure Key Vault om u te helpen bij het beheren en beheren van de sleutels en geheimen voor schijfversleuteling in uw key vault-abonnement. De oplossing zorgt er ook voor dat alle gegevens op de schijven van de virtuele machine in rust worden versleuteld in Azure Storage.

Hier volgen de aanbevolen procedures voor het gebruik van Azure Disk Encryption:

Best practice: Versleuteling op VM's inschakelen.
Detail: Azure Disk Encryption genereert en schrijft de versleutelingssleutels naar uw sleutelkluis. Voor het beheren van versleutelingssleutels in uw sleutelkluis is Microsoft Entra-verificatie vereist. Maak hiervoor een Microsoft Entra-toepassing. Voor verificatiedoeleinden kunt u verificatie op basis van clientgeheimen of op clientcertificaten gebaseerde Microsoft Entra-verificatie gebruiken.

Best practice: Gebruik een sleutelversleutelingssleutel (KEK) voor een extra beveiligingslaag voor versleutelingssleutels. Voeg een KEK toe aan uw sleutelkluis.
Details: Gebruik de cmdlet Add-AzKeyVaultKey om een sleutelversleutelingssleutel te maken in de sleutelkluis. U kunt ook een KEK importeren uit uw on-premises HSM (Hardware Security Module) voor sleutelbeheer. Zie de Key Vault-documentatie voor meer informatie. Wanneer er een KEK is opgegeven, gebruikt Azure Disk Encryption die sleutel om de versleutelingsgeheimen te verpakken voordat er naar Key Vault wordt geschreven. Het bewaren van een borgkopie van deze sleutel in een HSM voor on-premises sleutelbeheer biedt extra beveiliging tegen onbedoeld verwijderen van sleutels.

Best practice: Maak een momentopname en/of back-up voordat schijven worden versleuteld. Back-ups bieden een hersteloptie als er een onverwachte fout optreedt tijdens de versleuteling.
Detail: VOOR VM's met beheerde schijven is een back-up vereist voordat versleuteling plaatsvindt. Nadat een back-up is gemaakt, kunt u de cmdlet Set-AzVMDiskEncryptionExtension gebruiken om beheerde schijven te versleutelen door de parameter -skipVmBackup op te geven. Zie het Artikel over Azure Backup voor meer informatie over het maken van back-ups en het herstellen van versleutelde VM's.

Best practice: Om ervoor te zorgen dat de versleutelingsgeheimen geen regionale grenzen overschrijden, heeft Azure Disk Encryption de sleutelkluis en de VM's nodig die zich in dezelfde regio bevinden.
Details: Maak en gebruik een sleutelkluis die zich in dezelfde regio bevindt als de VIRTUELE machine die moet worden versleuteld.

Wanneer u Azure Disk Encryption toepast, kunt u voldoen aan de volgende bedrijfsbehoeften:

  • IaaS-VM's worden 'at rest' beveiligd met industriestandaard-versleutelingstechnologie om te voorzien in de beveiligings- en nalevingsbehoeften van organisaties.
  • IaaS-VM's beginnen onder door de klant beheerde sleutels en beleidsregels en u kunt het gebruik ervan controleren in uw sleutelkluis.

Directe internetverbinding beperken

Bewaak en beperk de directe internetverbinding van vm's. Aanvallers scannen voortdurend IP-adresbereiken in de openbare cloud op open beheerpoorten en proberen 'eenvoudige' aanvallen zoals algemene wachtwoorden en bekende niet-gepatchte beveiligingsproblemen. De volgende tabel bevat aanbevolen procedures om u te beschermen tegen deze aanvallen:

Best practice: onbedoelde blootstelling aan netwerkroutering en -beveiliging voorkomen.
Details: Gebruik Azure RBAC om ervoor te zorgen dat alleen de centrale netwerkgroep gemachtigd is voor netwerkresources.

Best practice: Identificeer en herstel blootgestelde VM's die toegang toestaan vanaf elk BRON-IP-adres.
Details: gebruik Microsoft Defender voor Cloud. Defender voor Cloud raadt u aan om de toegang via internetgerichte eindpunten te beperken als een van uw netwerkbeveiligingsgroepen een of meer regels voor binnenkomend verkeer heeft die toegang vanaf een willekeurig BRON-IP-adres toestaan. Defender voor Cloud raadt u aan deze regels voor inkomend verkeer te bewerken om de toegang tot bron-IP-adressen te beperken die daadwerkelijk toegang nodig hebben.

Best practice: Beheerpoorten beperken (RDP, SSH).
Detail: Just-In-Time-VM-toegang (JIT) kan worden gebruikt om inkomend verkeer naar uw Virtuele Azure-machines te vergrendelen, waardoor de blootstelling aan aanvallen wordt verminderd, terwijl u zo nodig eenvoudig verbinding kunt maken met VM's. Wanneer JIT is ingeschakeld, vergrendelt Defender voor Cloud binnenkomend verkeer naar uw Azure-VM's door een netwerkbeveiligingsgroepregel te maken. U selecteert de poorten op de virtuele machine waarop binnenkomend verkeer wordt vergrendeld. Deze poorten worden beheerd door de JIT-oplossing.

Volgende stappen

Bekijk best practices en patronen voor Azure-beveiliging voor meer aanbevolen beveiligingsprocedures die u kunt gebruiken wanneer u uw cloudoplossingen ontwerpt, implementeert en beheert met behulp van Azure.

De volgende resources zijn beschikbaar voor algemene informatie over Azure-beveiliging en gerelateerde Microsoft-services: