Best practices voor beveiliging voor IaaS-workloads in Azure

  • Artikel
  • 12 minuten om te lezen

In dit artikel worden de best practices voor beveiliging voor VM's en besturingssystemen beschreven.

De best practices zijn gebaseerd op een consensus van mening en werken met de huidige mogelijkheden en functiesets van het Azure-platform. Omdat adviezen en technologieën na een periode kunnen veranderen, wordt dit artikel bijgewerkt om deze wijzigingen weer te geven.

In de meeste IaaS-scenario's (Infrastructure as a Service) zijn virtuele Azure-machines (VM's) de belangrijkste workload voor organisaties die cloud-computing gebruiken. Dit is duidelijk in hybride scenario's waarin organisaties workloads langzaam naar de cloud willen migreren. In dergelijke scenario's volgt u de algemene beveiligingsoverwegingen voor IaaSen past u de best practices voor beveiliging toe op al uw VM's.

VM's beveiligen met behulp van verificatie en toegangsbeheer

De eerste stap bij het beveiligen van uw VM's is ervoor te zorgen dat alleen gemachtigde gebruikers nieuwe VM's kunnen instellen en toegang kunnen krijgen tot VM's.

Notitie

Om de beveiliging van virtuele Linux-VM's in Azure te verbeteren, kunt u integreren met Azure AD-verificatie. Wanneer u Azure AD-verificatie gebruikt voor linux-VM's,controleert en dwingt u beleidsregels af waarmee toegang tot de VM's wordt toegestaan of weigert.

Best practice: VM-toegang controleren.
Detail: Gebruik Azure-beleidsregels om conventies op te stellen voor resources in uw organisatie en om aangepaste beleidsregels te maken. Pas dit beleid toe op resources, zoals resourcegroepen. VM's die deel uitmaken van een resourcegroep nemen het beleid over.

Als uw organisatie veel abonnementen heeft, wilt u mogelijk de toegang, het beleid en de naleving voor die abonnementen op efficiënte wijze beheren. Azure-beheergroepen bieden een bereikniveau boven abonnementen. U orden abonnementen in beheergroepen (containers) en passen uw governancevoorwaarden toe op die groepen. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die op de groep zijn toegepast. Beheergroepen bieden u beheer van bedrijfskwaliteit op grote schaal, ongeacht de typen abonnementen die u hebt.

Best practice: Verminder de variabiliteit in uw installatie en implementatie van VM's.
Details: gebruik Azure Resource Manager om uw implementatiekeuzes te versterken en de VM's in uw omgeving gemakkelijker te begrijpen en te inventariseren.

Best practice: beveilig bevoegde toegang.
Detail: gebruik een benadering met minste bevoegdheden en ingebouwde Azure-rollen om gebruikers in staat te stellen VM's te openen en in te stellen:

  • Inzender voor virtuelemachines: kan VM's beheren, maar niet het virtuele netwerk of opslagaccount waarmee ze zijn verbonden.
  • Inzender voor klassiekevirtuele machines: kan VM's beheren die zijn gemaakt met het klassieke implementatiemodel, maar niet met het virtuele netwerk of het opslagaccount waarmee de virtuele machines zijn verbonden.
  • Beveiligingsbeheerder:alleen in Defender for Cloud: kan beveiligingsbeleid weergeven, beveiligingsbeleidsregels weergeven, beveiligingsbeleid bewerken, waarschuwingen en aanbevelingen weergeven, waarschuwingen en aanbevelingen afwijzen.
  • DevTest Labs-gebruiker:kan alles bekijken en verbinding maken, VM's starten, opnieuw opstarten en afsluiten.

Uw abonnementsbeheerders en beheerders kunnen deze instelling wijzigen, waardoor ze beheerders worden van alle VM's in een abonnement. Zorg ervoor dat u al uw abonnementsbeheerders en -beheerders vertrouwt om u aan te melden bij een van uw computers.

Notitie

We raden u aan om VM's met dezelfde levenscyclus samen te voegen in dezelfde resourcegroep. Met behulp van resourcegroepen kunt u factureringskosten voor uw resources implementeren, bewaken en verzamelen.

Organisaties die VM-toegang en -installatie controleren, verbeteren hun algehele VM-beveiliging.

Meerdere VM's gebruiken voor betere beschikbaarheid

Als op uw VM kritieke toepassingen worden uitgevoerd die hoge beschikbaarheid nodig hebben, raden we u ten zeerste aan meerdere VM's te gebruiken. Gebruik een beschikbaarheidsset of beschikbaarheidszones voor een betere beschikbaarheid.

Een beschikbaarheidsset is een logische groepering die u in Azure kunt gebruiken om ervoor te zorgen dat de VM-resources die u in de set zet, van elkaar worden geïsoleerd wanneer ze worden geïmplementeerd in een Azure-datacenter. Azure zorgt ervoor dat de VM's die u in een beschikbaarheidsset plaatsen, worden uitgevoerd op meerdere fysieke servers, rekenrekken, opslageenheden en netwerkswitches. Als er een hardware- of Azure-softwarefout optreedt, wordt slechts een subset van uw VM's beïnvloed en blijft uw algehele toepassing beschikbaar voor uw klanten. Beschikbaarheidssets zijn een essentiële mogelijkheid wanneer u betrouwbare cloudoplossingen wilt bouwen.

Beveiliging tegen malware

U moet antimalwarebeveiliging installeren om virussen, spyware en andere schadelijke software te identificeren en te verwijderen. U kunt Microsoft Antimalware oplossing voor eindpuntbeveiliging van een Microsoft-partner(Trend Micro, Broadcom, McAfee, Windows Defenderen System Center Endpoint Protection).

Microsoft Antimalware omvat functies zoals realtime-beveiliging, geplande scans, malware-herstel, handtekeningupdates, engine-updates, voorbeeldenrapportage en het verzamelen van uitsluitingsgebeurtenissen. Voor omgevingen die afzonderlijk van uw productieomgeving worden gehost, kunt u een antimalwareextensie gebruiken om uw VM's en cloudservices te beschermen.

U kunt uw Microsoft Antimalware en partneroplossingen integreren met Microsoft Defender for Cloud voor een eenvoudige implementatie en ingebouwde detecties (waarschuwingen en incidenten).

Best practice: installeer een antimalwareoplossing om u te beschermen tegen malware.
Details: Een Microsoft-partneroplossing of -Microsoft Antimalware

Best practice: integreer uw antimalwareoplossing met Defender for Cloud om de status van uw beveiliging te controleren.
Details: Endpoint Protection-problemen met Defender for Cloud beheren

Uw VM-updates beheren

Azure-VM's zijn, net als alle on-premises VM's, bedoeld om door de gebruiker te worden beheerd. Er worden dan ook geen Windows-updates naar VM's gepusht door Azure. U moet uw VM-updates beheren.

Best practice: houd uw VM's actueel.
Detail: gebruik de Updatebeheer-oplossing in Azure Automation om updates van besturingssystemen te beheren voor uw Windows- en Linux-computers die zijn geïmplementeerd in Azure, in on-premises omgevingen of bij andere cloudproviders. U kunt snel de status van de beschikbare updates op alle agentcomputers beoordelen en de procedure voor het installeren van vereiste updates voor servers beheren.

Computers die worden beheerd door Updatebeheer gebruiken de volgende configuraties voor het uitvoeren van evaluatie- en update-implementaties:

  • Microsoft Monitoring Agent (MMA) voor Windows of Linux
  • PowerShell Desired State Configuration (DSC) voor Linux
  • Automation Hybrid Runbook Worker
  • Microsoft Update of Windows Server Update Services (WSUS) voor Windows-computers

Als u Windows Update gebruikt, laat u de instelling automatisch Windows Bijwerken ingeschakeld.

Best practice: zorg ervoor dat bij de implementatie de meest recente ronde van de Windows-updates bevat.
Details: controleer en installeer alle Windows updates als een eerste stap van elke implementatie. Deze meting is vooral belangrijk om toe te passen wanneer u afbeeldingen implementeert die afkomstig zijn van u of uw eigen bibliotheek. Hoewel afbeeldingen uit Azure Marketplace standaard automatisch worden bijgewerkt, kan er een vertragingstijd (tot enkele weken) zijn na een openbare release.

Best practice: uw VM's periodiek opnieuw teploeren om een nieuwe versie van het besturingssysteem af te dwingen.
Detail: definieer uw virtuele Azure Resource Manager met een sjabloon, zodat u deze eenvoudig opnieuw kunt toepassen. Als u een sjabloon gebruikt, krijgt u een gepatchte en veilige VM wanneer u deze nodig hebt.

Best practice: pas snel beveiligingsupdates toe op VM's.
Details: Schakel Microsoft Defender for Cloud (gratis laag of Standard-laag) in om ontbrekende beveiligingsupdateste identificeren en toe te passen.

Best practice: installeer de nieuwste beveiligingsupdates.
Detail: Enkele van de eerste workloads die klanten naar Azure verplaatsen, zijn labs en externe systemen. Als uw Azure-VM's toepassingen of services hosten die toegankelijk moeten zijn voor internet, moet u zich zorgen maken over patching. Patch buiten het besturingssysteem. Niet-gepatchte beveiligingsproblemen in partnertoepassingen kunnen ook leiden tot problemen die kunnen worden vermeden als er goed patchbeheer is.

Best practice: Implementeer en test een back-upoplossing.
Detail: een back-up moet op dezelfde manier worden verwerkt als elke andere bewerking. Dit geldt voor systemen die deel uitmaken van uw productieomgeving die wordt uitgebreid naar de cloud.

Test- en dev-systemen moeten back-upstrategieën volgen die herstelmogelijkheden bieden die vergelijkbaar zijn met wat gebruikers gewend zijn geworden, op basis van hun ervaring met on-premises omgevingen. Productieworkloads die naar Azure worden verplaatst, moeten indien mogelijk worden geïntegreerd met bestaande back-upoplossingen. U kunt ook een Azure Backup om aan uw back-upvereisten te voldoen.

Organisaties die geen software-updatebeleid afdwingen, zijn meer blootgesteld aan bedreigingen die misbruik maken van bekende, eerder opgeloste beveiligingsproblemen. Om te voldoen aan de regelgeving in de branche, moeten bedrijven bewijzen dat ze zorgvuldig zijn en de juiste beveiligingscontroles gebruiken om de beveiliging van hun workloads in de cloud te waarborgen.

Best practices voor software-updates voor een traditioneel datacenter en Azure IaaS hebben veel overeenkomsten. U wordt aangeraden uw huidige software-updatebeleid te evalueren om VM's op te nemen die zich in Azure bevinden.

Uw VM-beveiligingsstatus beheren

Cyberthreats zijn in ontwikkeling. Voor het beveiligen van uw VM's is een bewakingsfunctie vereist die snel bedreigingen kan detecteren, onbevoegde toegang tot uw resources kan voorkomen, waarschuwingen kan activeren en fout-positieven kan verminderen.

Gebruik Microsoft Defender for Cloud om de beveiligingsstatus van Windows virtuele Linux-VM's te bewaken. Bewaar uw VM's in Defender for Cloud door gebruik te maken van de volgende mogelijkheden:

  • Pas beveiligingsinstellingen van het besturingssysteem toe met aanbevolen configuratieregels.
  • Identificeer en download systeembeveiliging en essentiële updates die mogelijk ontbreken.
  • Aanbevelingen implementeren voor endpoint antimalware-beveiliging.
  • Valideer schijfversleuteling.
  • Beveiligingsproblemen beoordelen en verhelpen.
  • Bedreigingen detecteren.

Defender for Cloud kan actief controleren op bedreigingen en mogelijke bedreigingen worden blootgesteld in beveiligingswaarschuwingen. Gecorreleerde bedreigingen worden geaggregeerd in één weergave, een beveiligingsincident genoemd.

Defender for Cloud slaat gegevens op in Azure Monitor logboeken. Azure Monitor logboeken biedt een querytaal en analyse-engine die u inzicht geven in de werking van uw toepassingen en resources. Er worden ook gegevens verzameld van Azure Monitor,beheeroplossingen en agents die zijn geïnstalleerd op virtuele machines in de cloud of on-premises. Deze gedeelde functionaliteit helpt u een volledig overzicht van uw omgeving te vormen.

Organisaties die geen sterke beveiliging voor hun VM's afdwingen, blijven zich niet bewust van mogelijke pogingen van onbevoegde gebruikers om beveiligingscontroles te omzeilen.

VM-prestaties bewaken

Resourcegebruik kan een probleem zijn wanneer VM-processen meer resources verbruiken dan nodig is. Prestatieproblemen met een VM kunnen leiden tot serviceonderbrekingen, wat in strijd is met het beveiligingsprincipe van beschikbaarheid. Dit is vooral belangrijk voor VM's waarop IIS of andere webservers worden host, omdat een hoog CPU- of geheugengebruik kan duiden op een DoS-aanval (Denial of Service). Het is belangrijk om de toegang tot VM's niet alleen reactief te controleren terwijl er een probleem optreedt, maar ook proactief tegen de basislijnprestaties zoals gemeten tijdens de normale werking.

We raden u aan om Azure Monitor te gebruiken om inzicht te krijgen in de status van uw resource. Azure Monitor functies:

Organisaties die de prestaties van VM's niet bewaken, kunnen niet bepalen of bepaalde wijzigingen in prestatiepatronen normaal of abnormaal zijn. Een VM die meer resources verbruikt dan normaal, kan duiden op een aanval van een externe resource of een gecompromitteerd proces dat op de VM wordt uitgevoerd.

Uw virtuele hardeschijfbestanden versleutelen

U wordt aangeraden uw virtuele harde schijven (VHD's) te versleutelen om uw opstartvolume en gegevensvolumes at-rest in de opslag te beveiligen, samen met uw versleutelingssleutels en geheimen.

Azure Disk Encryption helpt u bij het versleutelen van schijven Windows virtuele Linux IaaS-machines. Azure Disk Encryption maakt gebruik van de industriestandaard BitLocker-functie van Windows en de DM-Crypt-functie van Linux om volumeversleuteling te bieden voor het besturingssysteem en de gegevensschijven. De oplossing is geïntegreerd met Azure Key Vault u de schijfversleutelingssleutels en -geheimen in uw key vault-abonnement kunt beheren en beheren. De oplossing zorgt er ook voor dat alle gegevens op de schijven van de virtuele machine at-rest in de Azure Storage.

Hier volgen de best practices voor het gebruik van Azure Disk Encryption:

Best practice: versleuteling op VM's inschakelen.
Detail: Azure Disk Encryption de versleutelingssleutels naar uw sleutelkluis genereert en schrijft. Voor het beheren van versleutelingssleutels in uw sleutelkluis is Azure AD-verificatie vereist. Maak een Azure AD-toepassing voor dit doel. Voor verificatiedoeleinden kunt u gebruikmaken van verificatie op basis van clientgeheimen of Azure AD-verificatie op basis van clientcertificaten.

Best practice: gebruik een sleutelversleutelingssleutel (KEK) voor een extra beveiligingslaag voor versleutelingssleutels. Voeg een KEK toe aan uw sleutelkluis.
Detail: gebruik de cmdlet Add-AzKeyVaultKey om een sleutelversleutelingssleutel te maken in de sleutelkluis. U kunt ook een KEK importeren uit uw on-premises HSM (Hardware Security Module) voor sleutelbeheer. Zie de documentatie Key Vault meer informatie. Wanneer er een KEK is opgegeven, gebruikt Azure Disk Encryption die sleutel om de versleutelingsgeheimen te verpakken voordat er naar Key Vault wordt geschreven. Het bewaren van een escrow-kopie van deze sleutel in een HSM voor on-premises sleutelbeheer biedt extra bescherming tegen onbedoelde verwijdering van sleutels.

Best practice: maak een momentopname en/of back-up voordat schijven worden versleuteld. Back-ups bieden een hersteloptie als er een onverwachte fout teert tijdens de versleuteling.
Detail: VM's met beheerde schijven vereisen een back-up voordat versleuteling plaatsvindt. Nadat een back-up is gemaakt, kunt u de cmdlet Set-AzVMDiskEncryptionExtension gebruiken om beheerde schijven te versleutelen door de parameter -skipVmBackup op te geven. Zie het artikel over het maken van back-up en herstel van versleutelde VM'Azure Backup informatie.

Best practice: om ervoor te zorgen dat de versleutelingsgeheimen geen regionale grenzen overschrijden, moet Azure Disk Encryption de sleutelkluis en de VM's zich in dezelfde regio bevinden.
Detail: maak en gebruik een sleutelkluis die zich in dezelfde regio als de te versleutelen VM heeft.

Wanneer u een Azure Disk Encryption, kunt u voldoen aan de volgende bedrijfsbehoeften:

  • IaaS-VM's worden 'at rest' beveiligd met industriestandaard-versleutelingstechnologie om te voorzien in de beveiligings- en nalevingsbehoeften van organisaties.
  • IaaS-VM's beginnen onder door de klant beheerde sleutels en beleidsregels en u kunt het gebruik ervan in uw sleutelkluis controleren.

Directe internetverbinding beperken

Directe internetverbinding van VM's bewaken en beperken. Aanvallers scannen voortdurend openbare cloud-IP-adresbereiken op open beheerpoorten en proberen 'eenvoudige' aanvallen, zoals veelvoorkomende wachtwoorden en bekende niet-gepatchte beveiligingsproblemen, uit te voeren. De volgende tabel bevat best practices om u te beschermen tegen deze aanvallen:

Best practice: voorkom onbedoelde blootstelling aan netwerkroutering en -beveiliging.
Detail: gebruik Azure RBAC om ervoor te zorgen dat alleen de centrale netwerkgroep machtigingen heeft voor netwerkbronnen.

Best practice: identificeer en herstel blootgestelde VM's die toegang vanaf 'elk' bron-IP-adres toestaan.
Detail: Gebruik Microsoft Defender for Cloud. Defender for Cloud raadt u aan de toegang te beperken via internet-gerichte eindpunten als een van uw netwerkbeveiligingsgroepen een of meer regels voor binnenkomende toegang heeft die toegang vanaf 'elk' bron-IP-adres toestaan. Defender for Cloud raadt u aan deze regels voor binnenkomende gegevens te bewerken om de toegang te beperken tot bron-IP-adressen die daadwerkelijk toegang nodig hebben.

Best practice: Beheerpoorten beperken (RDP, SSH).
Details: JiT-VM-toegang (Just-In-Time) kan worden gebruikt om het inkomende verkeer naar uw Azure-VM's te vergrendelen, waardoor de blootstelling aan aanvallen wordt verkleind en tegelijkertijd eenvoudig verbinding kan worden gemaakt met VM's wanneer dat nodig is. Wanneer JIT is ingeschakeld, vergrendelt Defender for Cloud het inkomende verkeer naar uw Azure-VM's door een netwerkbeveiligingsgroepsregel te maken. U selecteert de poorten op de VM waarop het inkomende verkeer wordt vergrendeld. Deze poorten worden beheerd door de JIT-oplossing.

Volgende stappen

Zie Best practices en patronen voor Azure-beveiliging voor meer best practices voor beveiliging die u kunt gebruiken bij het ontwerpen, implementeren en beheren van uw cloudoplossingen met behulp van Azure.

De volgende resources zijn beschikbaar voor meer algemene informatie over azure-beveiliging en gerelateerde Microsoft-services: