Best practices voor beveiliging van Azure Identity Management en toegangsbeheer

In dit artikel bespreken we een verzameling aanbevolen procedures voor identiteitsbeheer en toegangsbeheer van Azure. Deze best practices zijn afgeleid van onze ervaring met Azure AD en de ervaringen van klanten zoals uzelf.

Voor elke best practice leggen we het volgende uit:

  • Wat de best practice is?
  • Waarom u die best practice wilt inschakelen
  • Wat kan het resultaat zijn als u de aanbevolen procedure niet inschakelt
  • Mogelijke alternatieven voor de best practice
  • Hoe u de best practice kunt inschakelen

Dit artikel over best practices voor beveiliging van Azure-identiteitsbeheer en -toegangsbeheer is gebaseerd op een consensus-mening en mogelijkheden en functiesets van Azure, zoals deze bestaan op het moment dat dit artikel is geschreven.

De bedoeling bij het schrijven van dit artikel is om een algemene routekaart te bieden voor een robuuster beveiligingspostuur na de implementatie, begeleid door onze controlelijst '5 stappen voor het beveiligen van uw identiteitsinfrastructuur', die u begeleidt bij een aantal van onze kernfuncties en -services.

Meningen en technologieën veranderen in de loop van de tijd en dit artikel wordt regelmatig bijgewerkt om deze wijzigingen weer te geven.

Best practices voor beveiliging van Azure-identiteitsbeheer en -toegangsbeheer die in dit artikel worden besproken, zijn onder andere:

  • Identiteit behandelen als de primaire beveiligingsperimeter
  • Identiteitsbeheer centraliseren
  • Verbonden tenants beheren
  • Eenmalige aanmelding inschakelen
  • Voorwaardelijke toegang inschakelen
  • Plan voor routinebeveiligingsverbeteringen
  • Wachtwoordbeheer inschakelen
  • Meervoudige verificatie afdwingen voor gebruikers
  • Op rollen gebaseerd toegangsbeheer gebruiken
  • Lagere blootstelling van bevoegde accounts
  • Locaties beheren waar resources zich bevinden
  • Azure AD gebruiken voor opslagverificatie

Identiteit behandelen als de primaire beveiligingsperimeter

Velen beschouwen identiteit als de primaire perimeter voor beveiliging. Dit is een verschuiving van de traditionele focus op netwerkbeveiliging. Netwerkperimeters blijven poreuzer en die perimeterbeveiliging kan niet zo effectief zijn als vóór de explosie van BYOD-apparaten en cloudtoepassingen.

Azure Active Directory (Azure AD) is de Azure-oplossing voor identiteits- en toegangsbeheer. Azure AD is een multitenant- en cloudservice voor directory- en identiteitsbeheer van Microsoft. Het combineert belangrijke directoryservices, toegangsbeheer voor toepassingen en identiteitsbeveiliging in één oplossing.

De volgende secties bevatten aanbevolen procedures voor identiteits- en toegangsbeveiliging met behulp van Azure AD.

Best practice: Beveiligingsmaatregelen en detecties voor gebruikers- en service-id's centreren. Detail: Gebruik Azure AD om besturingselementen en identiteiten samen te passen.

Identiteitsbeheer centraliseren

In een scenario voor hybride identiteit wordt u aangeraden uw on-premises en cloudmappen te integreren. Dankzij integratie kan uw IT-team accounts beheren vanaf één locatie, ongeacht waar een account wordt gemaakt. Integratie helpt uw gebruikers ook productiever te zijn door een gemeenschappelijke identiteit te bieden voor toegang tot zowel cloud- als on-premises resources.

Best practice: stel één Azure AD-exemplaar in. Consistentie en één gezaghebbende bron vergroten de duidelijkheid en verminderen beveiligingsrisico's van menselijke fouten en configuratiecomplexiteit. Detail: Wijs één Azure AD-directory aan als gezaghebbende bron voor bedrijfs- en organisatieaccounts.

Best practice: integreer uw on-premises directory's met Azure AD.
Detail: Azure AD-Verbinding maken gebruiken om uw on-premises directory te synchroniseren met uw clouddirectory.

Notitie

Er zijn factoren die van invloed zijn op de prestaties van Azure AD-Verbinding maken. Zorg ervoor dat Azure AD-Verbinding maken voldoende capaciteit heeft om te voorkomen dat systemen minder goed presteren dan de beveiliging en productiviteit. Grote of complexe organisaties (organisaties die meer dan 100.000 objecten inrichten) moeten de aanbevelingen volgen om hun Azure AD-Verbinding maken implementatie te optimaliseren.

Aanbevolen procedure: synchroniseer geen accounts met Azure AD met hoge bevoegdheden in uw bestaande Active Directory-exemplaar. Detail: Wijzig de standaardconfiguratie van Azure AD Verbinding maken waarmee deze accounts worden gefilterd niet. Met deze configuratie wordt het risico beperkt dat kwaadwillende gebruikers van de cloud naar on-premises assets draaien (wat een groot incident kan opleveren).

Aanbevolen procedure: Wachtwoord-hashsynchronisatie inschakelen.
Detail: Wachtwoord-hashsynchronisatie is een functie die wordt gebruikt voor het synchroniseren van wachtwoordhashes van een on-premises Active Directory-exemplaar naar een Azure AD-exemplaar in de cloud. Deze synchronisatie helpt om te beschermen tegen gelekte referenties die opnieuw worden afgespeeld tegen eerdere aanvallen.

Zelfs als u besluit federatie te gebruiken met Active Directory Federation Services (AD FS) of andere id-providers, kunt u desgewenst wachtwoord-hashsynchronisatie instellen als back-up als uw on-premises servers mislukken of tijdelijk niet beschikbaar zijn. Met deze synchronisatie kunnen gebruikers zich aanmelden bij de service met hetzelfde wachtwoord dat ze gebruiken om zich aan te melden bij hun on-premises Active Directory exemplaar. Hiermee kan Identity Protection ook gecompromitteerde referenties detecteren door gesynchroniseerde wachtwoordhashes te vergelijken met wachtwoorden die bekend zijn om inbreuk te maken, als een gebruiker hetzelfde e-mailadres en wachtwoord heeft gebruikt voor andere services die niet zijn verbonden met Azure AD.

Zie Wachtwoord-hashsynchronisatie implementeren met Azure AD Verbinding maken synchroniseren voor meer informatie.

Best practice: Voor het ontwikkelen van nieuwe toepassingen gebruikt u Azure AD voor verificatie. Detail: Gebruik de juiste mogelijkheden om verificatie te ondersteunen:

  • Azure AD voor werknemers
  • Azure AD B2B voor gastgebruikers en externe partners
  • Azure AD B2C om te bepalen hoe klanten zich registreren, aanmelden en hun profielen beheren wanneer ze uw toepassingen gebruiken

Organisaties die hun on-premises identiteit niet integreren met hun cloudidentiteit, kunnen meer overhead hebben bij het beheren van accounts. Deze overhead verhoogt de kans op fouten en beveiligingsschendingen.

Notitie

U moet kiezen in welke mappen kritieke accounts zich bevinden en of het gebruikte beheerwerkstation wordt beheerd door nieuwe cloudservices of bestaande processen. Het gebruik van bestaande beheer- en identiteitsinrichtingsprocessen kan een aantal risico's verminderen, maar kan ook het risico vormen dat een aanvaller een on-premises account in gevaar kan brengen en naar de cloud draait. U kunt een andere strategie gebruiken voor verschillende rollen (bijvoorbeeld IT-beheerders versus business unit-beheerders). U hebt twee opties. De eerste optie is het maken van Azure AD-accounts die niet worden gesynchroniseerd met uw on-premises Active Directory-exemplaar. Voeg uw beheerwerkstation toe aan Azure AD, dat u kunt beheren en patchen met behulp van Microsoft Intune. De tweede optie is het gebruik van bestaande beheerdersaccounts door uw on-premises Active Directory exemplaar te synchroniseren. Gebruik bestaande werkstations in uw Active Directory-domein voor beheer en beveiliging.

Verbonden tenants beheren

Uw beveiligingsorganisatie heeft zichtbaarheid nodig om risico's te beoordelen en te bepalen of het beleid van uw organisatie en eventuele wettelijke vereisten worden gevolgd. Zorg ervoor dat uw beveiligingsorganisatie inzicht heeft in alle abonnementen die zijn verbonden met uw productieomgeving en netwerk (via Azure ExpressRoute of site-naar-site VPN). Een globale beheerder in Azure AD kan de toegang tot de rol Beheerder van gebruikerstoegang verhogen en alle abonnementen en beheerde groepen zien die zijn verbonden met uw omgeving.

Bekijk de toegang tot het beheren van alle Azure-abonnementen en -beheergroepen om ervoor te zorgen dat u en uw beveiligingsgroep alle abonnementen of beheergroepen kunnen bekijken die zijn verbonden met uw omgeving. U moet deze verhoogde toegang verwijderen nadat u risico's hebt beoordeeld.

Eenmalige aanmelding inschakelen

In een cloud-eerste wereld van mobiele apparaten wilt u eenmalige aanmelding (SSO) inschakelen voor apparaten, apps en services vanaf elke locatie, zodat uw gebruikers overal en altijd productief kunnen zijn. Wanneer u meerdere identiteitsoplossingen hebt om te beheren, wordt dit niet alleen een beheerprobleem voor IT, maar ook voor gebruikers die meerdere wachtwoorden moeten onthouden.

Door dezelfde identiteitsoplossing te gebruiken voor al uw apps en resources, kunt u eenmalige aanmelding bereiken. En uw gebruikers kunnen dezelfde set referenties gebruiken om zich aan te melden en toegang te krijgen tot de resources die ze nodig hebben, ongeacht of de resources zich on-premises of in de cloud bevinden.

Aanbevolen procedure: eenmalige aanmelding inschakelen.
Detail: Azure AD breidt on-premises Active Directory uit naar de cloud. Gebruikers kunnen hun primaire werk- of schoolaccount gebruiken voor hun apparaten, bedrijfsbronnen en alle web- en SaaS-toepassingen die ze nodig hebben om hun taken uit te voeren. Gebruikers hoeven niet meerdere sets gebruikersnamen en wachtwoorden te onthouden en hun toepassingstoegang kan automatisch worden ingericht (of de inrichting ongedaan maken) op basis van hun organisatiegroepslidmaatschappen en hun status als werknemer. En u kunt deze toegang beheren voor galerie-apps of voor uw eigen on-premises apps die u hebt ontwikkeld en gepubliceerd via de Azure AD-toepassingsproxy.

Gebruik eenmalige aanmelding om gebruikers toegang te geven tot hun SaaS-toepassingen op basis van hun werk- of schoolaccount in Azure AD. Dit is niet alleen van toepassing op Microsoft SaaS-apps, maar ook op andere apps, zoals Google Apps en Salesforce. U kunt uw toepassing configureren om Azure AD te gebruiken als een op SAML gebaseerde id-provider . Als beveiligingsbeheer geeft Azure AD geen token uit waarmee gebruikers zich kunnen aanmelden bij de toepassing, tenzij ze toegang hebben gekregen via Azure AD. U kunt rechtstreeks toegang verlenen of via een groep waarvan gebruikers lid zijn.

Organisaties die geen algemene identiteit maken om eenmalige aanmelding voor hun gebruikers en toepassingen tot stand te brengen, worden meer blootgesteld aan scenario's waarin gebruikers meerdere wachtwoorden hebben. Deze scenario's vergroten de kans dat gebruikers wachtwoorden hergebruiken of zwakke wachtwoorden gebruiken.

Voorwaardelijke toegang inschakelen

Gebruikers hebben overal toegang tot de resources van uw organisatie met behulp van verschillende apparaten en apps. Als IT-beheerder wilt u ervoor zorgen dat deze apparaten voldoen aan uw normen voor beveiliging en naleving. Alleen maar focussen op wie toegang heeft tot een resource is niet meer voldoende.

Als u de beveiliging en productiviteit wilt verdelen, moet u nadenken over hoe een resource wordt geopend voordat u een beslissing kunt nemen over toegangsbeheer. Met voorwaardelijke toegang van Azure AD kunt u deze vereiste aanpakken. Met voorwaardelijke toegang kunt u geautomatiseerde beslissingen over toegangsbeheer nemen op basis van voorwaarden voor toegang tot uw cloud-apps.

Aanbevolen procedure: de toegang tot bedrijfsbronnen beheren en beheren.
Details: Algemene beleidsregels voor voorwaardelijke toegang van Azure AD configureren op basis van een groep, locatie en toepassingsgevoeligheid voor SaaS-apps en met Azure AD verbonden apps.

Aanbevolen procedure: verouderde verificatieprotocollen blokkeren. Detail: Aanvallers misbruiken elke dag zwakke plekken in oudere protocollen, met name voor aanvallen met wachtwoordspray. Configureer Voorwaardelijke toegang om verouderde protocollen te blokkeren.

Plannen voor routinebeveiligingsverbeteringen

Beveiliging ontwikkelt zich altijd en het is belangrijk om in te bouwen in uw framework voor cloud- en identiteitsbeheer om regelmatig groei te tonen en nieuwe manieren te ontdekken om uw omgeving te beveiligen.

Identity Secure Score is een set aanbevolen beveiligingscontroles die Microsoft publiceert die u een numerieke score biedt om uw beveiligingspostuur objectief te meten en toekomstige beveiligingsverbeteringen te plannen. U kunt uw score ook bekijken in vergelijking met die in andere branches, evenals uw eigen trends in de loop van de tijd.

Best practice: Plan routine beveiligingsbeoordelingen en verbeteringen op basis van best practices in uw branche. Detail: Gebruik de functie Identity Secure Score om uw verbeteringen in de loop van de tijd te rangschikken.

Wachtwoordbeheer inschakelen

Als u meerdere tenants hebt of als u wilt dat gebruikers hun eigen wachtwoorden opnieuw instellen, is het belangrijk dat u het juiste beveiligingsbeleid gebruikt om misbruik te voorkomen.

Aanbevolen procedure: selfservice voor wachtwoordherstel (SSPR) instellen voor uw gebruikers.
Details: Gebruik de functie voor selfservice voor wachtwoordherstel van Azure AD.

Aanbevolen procedure: Controleren hoe of SSPR echt wordt gebruikt.
Details: Bewaak de gebruikers die zich registreren met behulp van het rapport Registratieactiviteit voor wachtwoordherstel van Azure AD. Met de rapportagefunctie die Azure AD biedt, kunt u vragen beantwoorden met behulp van vooraf samengestelde rapporten. Als u de juiste licentie hebt, kunt u ook aangepaste query's maken.

Best practice: Breid het wachtwoordbeleid in de cloud uit naar uw on-premises infrastructuur. Detail: Verbeter het wachtwoordbeleid in uw organisatie door dezelfde controles uit te voeren op on-premises wachtwoordwijzigingen als bij cloudwachtwoordwijzigingen. Installeer Azure AD-wachtwoordbeveiliging voor Windows Server Active Directory agents on-premises om verboden wachtwoordlijsten uit te breiden naar uw bestaande infrastructuur. Gebruikers en beheerders die on-premises wachtwoorden wijzigen, instellen of opnieuw instellen, moeten voldoen aan hetzelfde wachtwoordbeleid als gebruikers in de cloud.

Meervoudige verificatie afdwingen voor gebruikers

We raden u aan verificatie in twee stappen te vereisen voor al uw gebruikers. Dit omvat beheerders en anderen in uw organisatie die een aanzienlijke impact kunnen hebben als hun account is gecompromitteerd (bijvoorbeeld financiële medewerkers).

Er zijn meerdere opties voor het vereisen van verificatie in twee stappen. De beste optie voor u is afhankelijk van uw doelen, de Azure AD-editie die u uitvoert en uw licentieprogramma. Zie Verificatie in twee stappen vereisen voor een gebruiker om de beste optie voor u te bepalen. Zie de pagina's met prijzen voor Azure AD en Azure AD Multi-Factor Authentication voor meer informatie over licenties en prijzen.

Hieronder volgen opties en voordelen voor het inschakelen van verificatie in twee stappen:

Optie 1: Schakel MFA in voor alle gebruikers en aanmeldingsmethoden met Azure AD Security Defaults Benefit: met deze optie kunt u eenvoudig en snel MFA afdwingen voor alle gebruikers in uw omgeving met een strikt beleid om:

  • Beheeraccounts en mechanismen voor beheerdersaanmelding uitdagen
  • MFA-uitdaging vereisen via Microsoft Authenticator voor alle gebruikers
  • Verouderde verificatieprotocollen beperken.

Deze methode is beschikbaar voor alle licentielagen, maar kan niet worden gecombineerd met bestaand beleid voor voorwaardelijke toegang. Meer informatie vindt u in Standaardinstellingen voor Azure AD-beveiliging

Optie 2: Meervoudige verificatie inschakelen door de gebruikersstatus te wijzigen.
Voordeel: dit is de traditionele methode voor het vereisen van verificatie in twee stappen. Het werkt met zowel Azure AD Multi-Factor Authentication in de cloud als de Azure Multi-Factor Authentication-server. Als u deze methode gebruikt, moeten gebruikers verificatie in twee stappen uitvoeren telkens wanneer ze zich aanmelden en beleidsregels voor voorwaardelijke toegang overschrijven.

Als u wilt bepalen waar Multi-Factor Authentication moet worden ingeschakeld, raadpleegt u welke versie van Azure AD MFA geschikt is voor mijn organisatie?

Optie 3: Meervoudige verificatie inschakelen met beleid voor voorwaardelijke toegang. Voordeel: Met deze optie kunt u onder specifieke voorwaarden vragen om verificatie in twee stappen met behulp van voorwaardelijke toegang. Specifieke voorwaarden kunnen gebruikersaanmelding zijn vanaf verschillende locaties, niet-vertrouwde apparaten of toepassingen die u riskant acht. Door specifieke voorwaarden te definiëren waarvoor verificatie in twee stappen is vereist, kunt u constant vragen naar uw gebruikers voorkomen. Dit kan een onaangename gebruikerservaring zijn.

Dit is de meest flexibele manier om verificatie in twee stappen in te schakelen voor uw gebruikers. Het inschakelen van een beleid voor voorwaardelijke toegang werkt alleen voor Azure AD Multi-Factor Authentication in de cloud en is een premium-functie van Azure AD. Meer informatie over deze methode vindt u in Azure AD Multi-Factor Authentication implementeren in de cloud.

Optie 4: Meervoudige verificatie met beleid voor voorwaardelijke toegang inschakelen door beleid op basis van risico's voor voorwaardelijke toegang te evalueren.
Voordeel: Met deze optie kunt u het volgende doen:

  • Detecteer potentiële beveiligingsproblemen die van invloed zijn op de identiteiten van uw organisatie.
  • Configureer geautomatiseerde reacties op gedetecteerde verdachte acties die zijn gerelateerd aan de identiteiten van uw organisatie.
  • Onderzoek verdachte incidenten en neem de juiste actie om ze op te lossen.

Deze methode maakt gebruik van de azure AD Identity Protection-risicoanalyse om te bepalen of verificatie in twee stappen is vereist op basis van gebruikers- en aanmeldingsrisico's voor alle cloudtoepassingen. Voor deze methode is Azure Active Directory P2-licentie vereist. Meer informatie over deze methode vindt u in Azure Active Directory Identity Protection.

Notitie

Optie 2, het inschakelen van Multi-Factor Authentication door de gebruikersstatus te wijzigen, overschrijft beleidsregels voor voorwaardelijke toegang. Omdat opties 3 en 4 beleid voor voorwaardelijke toegang gebruiken, kunt u optie 2 niet gebruiken.

Organisaties die geen extra beveiligingslagen voor identiteiten toevoegen, zoals verificatie in twee stappen, zijn gevoeliger voor diefstal van referenties. Een aanval op referentiediefstal kan leiden tot inbreuk op gegevens.

Op rollen gebaseerd toegangsbeheer gebruiken

Toegangsbeheer voor cloudresources is essentieel voor elke organisatie die gebruikmaakt van de cloud. Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u beheren wie toegang heeft tot Azure-resources, wat ze met deze resources kunnen doen en tot welke gebieden ze toegang hebben.

Door groepen of afzonderlijke rollen aan te wijzen die verantwoordelijk zijn voor specifieke functies in Azure, voorkomt u verwarring die kan leiden tot menselijke en automatiseringsfouten die beveiligingsrisico's veroorzaken. Het beperken van de toegang op basis van de noodzaak om te weten en beveiligingsprincipes met minimale bevoegdheden is noodzakelijk voor organisaties die beveiligingsbeleid voor gegevenstoegang willen afdwingen.

Uw beveiligingsteam heeft inzicht nodig in uw Azure-resources om risico's te kunnen beoordelen en oplossen. Als het beveiligingsteam operationele verantwoordelijkheden heeft, hebben ze aanvullende machtigingen nodig om hun taken uit te voeren.

U kunt Azure RBAC gebruiken om machtigingen toe te wijzen aan gebruikers, groepen en toepassingen binnen een bepaald bereik. Het bereik van een roltoewijzing kan een abonnement, een resourcegroep of een enkele resource zijn.

Aanbevolen procedure: Scheid taken binnen uw team en verleent alleen de hoeveelheid toegang tot gebruikers die ze nodig hebben om hun taken uit te voeren. In plaats van iedereen onbeperkte machtigingen te geven in uw Azure-abonnement of -resources, staat u alleen bepaalde acties toe op een bepaald bereik. Detail: Gebruik ingebouwde Azure-rollen in Azure om bevoegdheden toe te wijzen aan gebruikers.

Notitie

Specifieke machtigingen zorgen voor onnodige complexiteit en verwarring, die zich opstapelen in een 'verouderde' configuratie die moeilijk te verhelpen is zonder dat u bang bent om iets te breken. Vermijd resourcespecifieke bevoegdheden. Gebruik in plaats daarvan beheergroepen voor machtigingen en resourcegroepen voor de hele onderneming voor machtigingen binnen abonnementen. Vermijd gebruikersspecifieke machtigingen. Wijs in plaats daarvan toegang toe aan groepen in Azure AD.

Best practice: ververleent beveiligingsteams toegang tot Azure-verantwoordelijkheden om Azure-resources te bekijken, zodat ze risico's kunnen beoordelen en oplossen. Detail: Verdeel beveiligingsteams de rol Azure RBAC-beveiligingslezer . U kunt de hoofdbeheergroep of de segmentbeheergroep gebruiken, afhankelijk van het bereik van verantwoordelijkheden:

  • Hoofdbeheergroep voor teams die verantwoordelijk zijn voor alle ondernemingsresources
  • Segmentbeheergroep voor teams met een beperkt bereik (meestal vanwege wettelijke of andere organisatiegrenzen)

Best practice: ververleent de juiste machtigingen aan beveiligingsteams die directe operationele verantwoordelijkheden hebben. Details: Controleer de ingebouwde Azure-rollen voor de juiste roltoewijzing. Als de ingebouwde rollen niet voldoen aan de specifieke behoeften van uw organisatie, kunt u aangepaste Azure-rollen maken. Net als bij ingebouwde rollen kunt u aangepaste rollen toewijzen aan gebruikers, groepen en service-principals op abonnements-, resourcegroep- en resourcebereiken.

Aanbevolen procedures: ververleent Microsoft Defender voor Cloud toegang tot beveiligingsrollen die deze nodig hebben. Defender voor Cloud kunnen beveiligingsteams snel risico's identificeren en oplossen. Detail: Voeg beveiligingsteams toe met deze behoeften aan de rol Azure RBAC-beveiligingsbeheerder , zodat ze beveiligingsbeleid kunnen bekijken, beveiligingsstatussen kunnen bekijken, beveiligingsbeleid kunnen bewerken, waarschuwingen en aanbevelingen kunnen bekijken en waarschuwingen en aanbevelingen kunnen negeren. U kunt dit doen met behulp van de hoofdbeheergroep of de segmentbeheergroep, afhankelijk van het bereik van verantwoordelijkheden.

Organisaties die geen toegangsbeheer voor gegevens afdwingen met behulp van mogelijkheden zoals Azure RBAC geven mogelijk meer bevoegdheden dan nodig is voor hun gebruikers. Dit kan leiden tot inbreuk op gegevens door gebruikers toegang te geven tot gegevenstypen (bijvoorbeeld een grote zakelijke impact) die ze niet mogen hebben.

Lagere blootstelling van bevoegde accounts

Het beveiligen van bevoegde toegang is een essentiële eerste stap voor het beveiligen van bedrijfsassets. Het minimaliseren van het aantal personen dat toegang heeft tot beveiligde informatie of resources vermindert de kans dat een kwaadwillende gebruiker toegang krijgt of een geautoriseerde gebruiker per ongeluk een gevoelige resource beïnvloedt.

Bevoegde accounts zijn accounts die IT-systemen beheren en beheren. Cyberaanvallers richten zich op deze accounts om toegang te krijgen tot de gegevens en systemen van een organisatie. Als u bevoegde toegang wilt beveiligen, moet u de accounts en systemen isoleren van het risico dat deze worden blootgesteld aan een kwaadwillende gebruiker.

We raden u aan een roadmap te ontwikkelen en te volgen om bevoegde toegang tegen cyberaanvallers te beveiligen. Voor informatie over het maken van een gedetailleerd roadmap voor het beveiligen van identiteiten en toegang die worden beheerd of gerapporteerd in Azure AD, Microsoft Azure, Microsoft 365 en andere cloudservices, raadpleegt u De beveiligde toegang voor hybride en cloudimplementaties in Azure AD.

Hieronder vindt u een overzicht van de aanbevolen procedures voor het beveiligen van bevoegde toegang voor hybride en cloudimplementaties in Azure AD:

Aanbevolen procedure: de toegang tot bevoegde accounts beheren, beheren en bewaken.
Details: Schakel Azure AD-Privileged Identity Management in. Nadat u Privileged Identity Management hebt ingeschakeld, ontvangt u e-mailberichten met meldingen voor functiewijzigingen met bevoorrechte toegang. Deze meldingen bieden vroegtijdige waarschuwingen wanneer extra gebruikers worden toegevoegd aan rollen met hoge bevoegdheden in uw directory.

Best practice: zorg ervoor dat alle kritieke beheerdersaccounts azure AD-accounts beheren. Detail: Verwijder alle consumentenaccounts uit kritieke beheerdersrollen (bijvoorbeeld Microsoft-accounts zoals hotmail.com, live.com en outlook.com).

Best practice: Zorg ervoor dat alle kritieke beheerdersrollen een afzonderlijk account hebben voor beheertaken om phishing en andere aanvallen te voorkomen om beheerdersbevoegdheden in gevaar te brengen. Detail: Maak een afzonderlijk beheerdersaccount waaraan de bevoegdheden zijn toegewezen die nodig zijn om de beheertaken uit te voeren. Het gebruik van deze beheeraccounts blokkeren voor hulpprogramma's voor dagelijkse productiviteit, zoals Microsoft 365 e-mail of willekeurige webbrowsers.

Best practice: accounts identificeren en categoriseren die zich in rollen met hoge bevoegdheden bevinden.
Detail: Nadat u Azure AD-Privileged Identity Management hebt ingeschakeld, bekijkt u de gebruikers die zich in de globale beheerder, beheerder van bevoorrechte rollen en andere rollen met hoge bevoegdheden bevinden. Verwijder alle accounts die niet meer nodig zijn in deze rollen en categoriseer de resterende accounts die zijn toegewezen aan beheerdersrollen:

  • Individueel toegewezen aan gebruikers met beheerdersrechten en kan worden gebruikt voor niet-administratieve doeleinden (bijvoorbeeld persoonlijke e-mail)
  • Individueel toegewezen aan gebruikers met beheerdersrechten en alleen aangewezen voor administratieve doeleinden
  • Gedeeld tussen meerdere gebruikers
  • Voor scenario's voor noodtoegang
  • Voor geautomatiseerde scripts
  • Voor externe gebruikers

Best practice: JIT-toegang (Just-In-Time) implementeren om de blootstellingstijd van bevoegdheden verder te verlagen en uw inzicht te vergroten in het gebruik van bevoegde accounts.
Detail: Met Azure AD Privileged Identity Management kunt u het volgende doen:

  • Beperk gebruikers om alleen hun bevoegdheden op te nemen JIT.
  • Wijs rollen toe voor een verkorte duur met het vertrouwen dat de bevoegdheden automatisch worden ingetrokken.

Best practice: definieer ten minste twee accounts voor toegang tot noodgevallen.
Detail: Accounts voor noodtoegang helpen organisaties om bevoorrechte toegang in een bestaande Azure Active Directory-omgeving te beperken. Deze accounts zijn zeer bevoegd en worden niet toegewezen aan specifieke personen. Accounts voor noodtoegang zijn beperkt tot scenario's waarbij normale beheerdersaccounts niet kunnen worden gebruikt. Organisaties moeten het gebruik van het account voor noodgevallen beperken tot alleen de benodigde tijd.

Evalueer de accounts die zijn toegewezen of in aanmerking komen voor de rol van globale beheerder. Als u geen cloudaccounts ziet met behulp van het *.onmicrosoft.com domein (bedoeld voor toegang tot noodgevallen), maakt u deze. Zie Beheerdersaccounts voor noodtoegang beheren in Azure AD voor meer informatie.

Best practice: Zorg voor een 'breakglas'-proces in geval van nood. Detail: Volg de stappen in Het beveiligen van bevoegde toegang voor hybride en cloudimplementaties in Azure AD.

Aanbevolen procedure: vereisen dat alle kritieke beheerdersaccounts wachtwoordloos zijn (voorkeur) of Multi-Factor Authentication vereisen. Detail: Gebruik de Microsoft Authenticator-app om u aan te melden bij een Azure AD-account zonder een wachtwoord te gebruiken. Net als Windows Hello voor Bedrijven maakt de Microsoft Authenticator gebruik van verificatie op basis van sleutels om een gebruikersreferentie in te schakelen die is gekoppeld aan een apparaat en biometrische verificatie of een pincode gebruikt.

Vereisen dat Azure AD Multi-Factor Authentication wordt aangemeld voor alle afzonderlijke gebruikers die permanent zijn toegewezen aan een of meer van de Azure AD-beheerdersrollen: globale beheerder, beheerder met bevoorrechte rol, Exchange Online-beheerder en SharePoint onlinebeheerder. Schakel Multi-Factor Authentication in voor uw beheerdersaccounts en zorg ervoor dat gebruikers van het beheerdersaccount zich hebben geregistreerd.

Best practice: Voor kritieke beheerdersaccounts hebt u een beheerwerkstation waarin productietaken niet zijn toegestaan (bijvoorbeeld bladeren en e-mail). Hierdoor worden uw beheerdersaccounts beschermd tegen aanvalsvectoren die browsen en e-mail gebruiken en uw risico op een groot incident aanzienlijk verlagen. Detail: Een beheerwerkstation gebruiken. Kies een niveau van werkstationbeveiliging:

  • Zeer veilige productiviteitsapparaten bieden geavanceerde beveiliging voor browsen en andere productiviteitstaken.
  • Privileged Access Workstations (PAW's) bieden een speciaal besturingssysteem dat is beveiligd tegen internetaanvallen en bedreigingsvectoren voor gevoelige taken.

Aanbevolen procedure: Beheerdersaccounts ongedaan maken wanneer werknemers uw organisatie verlaten. Detail: Zorg dat er een proces is dat beheerdersaccounts uitschakelt of verwijdert wanneer werknemers uw organisatie verlaten.

Best practice: test regelmatig beheerdersaccounts met behulp van huidige aanvalstechnieken. Detail: Gebruik Microsoft 365 Aanvalssimulator of een aanbieding van derden om realistische aanvalsscenario's in uw organisatie uit te voeren. Dit kan u helpen kwetsbare gebruikers te vinden voordat er een echte aanval plaatsvindt.

Best practice: Voer stappen uit om de meest gebruikte aanvallende technieken te beperken.
Detail: Microsoft-accounts identificeren in beheerdersrollen die moeten worden overgeschakeld naar werk- of schoolaccounts

Zorg ervoor dat afzonderlijke gebruikersaccounts en e-mail doorsturen voor globale beheerdersaccounts

Zorg ervoor dat de wachtwoorden van beheerdersaccounts onlangs zijn gewijzigd

Wachtwoord-hashsynchronisatie inschakelen

Multi-Factor Authentication vereisen voor gebruikers in alle bevoorrechte rollen en voor blootgestelde gebruikers

Uw Microsoft 365 Secure Score verkrijgen (als u Microsoft 365 gebruikt)

Bekijk de Microsoft 365 beveiligingsrichtlijnen (als u Microsoft 365 gebruikt)

Microsoft 365 activiteitsbewaking configureren (als u Microsoft 365 gebruikt)

Eigenaren van incident-/noodresponsplannen instellen

On-premises bevoegde beheerdersaccounts beveiligen

Als u geen bevoegde toegang beveiligt, kan het zijn dat u te veel gebruikers met zeer bevoorrechte rollen hebt en kwetsbaarder bent voor aanvallen. Kwaadwillende actoren, waaronder cyberaanvallen, richten zich vaak op beheerdersaccounts en andere elementen van bevoegde toegang om toegang te krijgen tot gevoelige gegevens en systemen met behulp van referentiediefstal.

Locaties beheren waar resources worden gemaakt

Het is erg belangrijk om cloudoperators in staat te stellen taken uit te voeren en te voorkomen dat ze fouten veroorzaken die nodig zijn om de resources van uw organisatie te beheren. Organisaties die de locaties willen beheren waar resources worden gemaakt, moeten deze locaties hard coden.

U kunt Azure Resource Manager gebruiken om beveiligingsbeleid te maken waarvan de definities de acties of resources beschrijven die specifiek worden geweigerd. U wijst deze beleidsdefinities toe aan het gewenste bereik, zoals het abonnement, de resourcegroep of een afzonderlijke resource.

Notitie

Beveiligingsbeleid is niet hetzelfde als Azure RBAC. Ze gebruiken Azure RBAC om gebruikers te machtigen om deze resources te maken.

Organisaties die niet bepalen hoe resources worden gemaakt, zijn gevoeliger voor gebruikers die de service kunnen misbruiken door meer resources te maken dan ze nodig hebben. Het maken van resources is een belangrijke stap voor het beveiligen van een scenario met meerdere tenants.

Actief controleren op verdachte activiteiten

Een actief identiteitsbewakingssysteem kan snel verdacht gedrag detecteren en een waarschuwing activeren voor verder onderzoek. De volgende tabel bevat twee Mogelijkheden van Azure AD waarmee organisaties hun identiteiten kunnen bewaken:

Best practice: Een methode hebben om het volgende te identificeren:

Detail: gebruik Azure AD Premium anomalierapporten. Zorg ervoor dat IT-beheerders deze rapporten dagelijks of op aanvraag kunnen uitvoeren (meestal in een scenario voor incidentrespons).

Best practice: Gebruik een actief bewakingssysteem dat u op de hoogte stelt van risico's en kan het risiconiveau (hoog, gemiddeld of laag) aanpassen aan uw bedrijfsvereisten.
Detail: Gebruik Azure AD Identity Protection, waarmee de huidige risico's op een eigen dashboard worden gemarkeerd en dagelijkse samenvattingsmeldingen via e-mail worden verzonden. Om de identiteiten van uw organisatie te beschermen, kunt u beleidsregels op basis van risico's configureren die automatisch reageren op gedetecteerde problemen wanneer een opgegeven risiconiveau wordt bereikt.

Organisaties die hun identiteitssystemen niet actief bewaken, lopen het risico dat gebruikersreferenties worden aangetast. Zonder te weten dat verdachte activiteiten plaatsvinden via deze referenties, kunnen organisaties dit type bedreiging niet beperken.

Azure AD gebruiken voor opslagverificatie

Azure Storage ondersteunt verificatie en autorisatie met Azure AD voor Blob Storage en Queue Storage. Met Azure AD-verificatie kunt u het op rollen gebaseerde toegangsbeheer van Azure gebruiken om specifieke machtigingen te verlenen aan gebruikers, groepen en toepassingen tot het bereik van een afzonderlijke blobcontainer of wachtrij.

U wordt aangeraden Azure AD te gebruiken voor het verifiëren van toegang tot opslag.

Volgende stap

Bekijk best practices en patronen voor Azure-beveiliging voor meer aanbevolen beveiligingsprocedures die u kunt gebruiken wanneer u uw cloudoplossingen ontwerpt, implementeert en beheert met behulp van Azure.